Thursday, July 8, 2010

Cross Site Scripting (XSS) Bug Found on YouTube

แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)
บทความโดย: Windows Administrator Blog

ในช่วงปลายสัปดาห์ที่ผ่านมามีรายงานว่าแฮกเกอร์ได้โจมตีเว็บไซต์ YouTube ด้วยการฝังโค้ด JavaScript ไว้ในคอมเมนต์โดยอาศัยข้อบกพร่องแบบ Cross Site Scripting (XSS) อย่างไรก็ตาม หลังจากได้รับรายงานการโจมตี Google ก็ได้ทำการแพตซ์ข้อบกพร่องดังกล่าวนี้ในทันที สำหรับเป้าหมายของการโจมตีจะพุ่งไปยังคลิปวีดีโอของ "Justin Bieber" ที่เป็นนักร้องขวัญใจวันรุ่นและมีแฟนคลับบนโลกออนไลน์เป็นจำนวนมาก

โดย Google ได้ออกแถลงการณ์อย่างเป็นทางการแจ้งว่า การแก้ไขปัญหาครั้งนี้ใช้เวลาในการดำเนินการจำนวน 2 ชั่วโมง และในระหว่างที่ทำแก้ไขปัญหานั้นเว็บไซต์ YouTube จะไม่ทำการแสดงคอมเมนต์เป็นเวลา 1 ชั่วโมง ทั้งนี้ Google ได้กล่าวในตอนท้ายของแถลงการณ์ว่า "จะทำการศึกษาถึงการเกิดปัญหาครั้งนี้เป็นกรณีตัวอย่างเพื่อป้องกันไม่ให้เกิดปัญหาลักษณะนี้อีกในอนาคต"

สำหรับข้อบกพร่องแบบ Cross Site Scripting ที่พบในครั้งนี้ ทำให้แฮกเกอร์สามารถใส่โค้ด JavaScript ลงในคอมเมนต์ของเว็บไซต์ YouTube ได้ ค้นพบโดยแฮกเกอร์หมวกเทา (Grey Hat Hacker) ชาวโรมาเนียที่เรียกตัวเองว่า "TinKode" ซึ่งหลังจากค้นพบได้นำไปโพสต์ในบล็อกเมื่อวันเสาร์ 3 กรกฏาคม 2553 หลังจากนั้นไม่นานแฮกเกอร์ซึ่งเป็นสมาชิกของ "4chan" ก็เริ่มลงมือทำการโจมตีบรรดาแฟนคลับของ Justin Bieber

นอกจากนี้ ยังมีข่าวลือว่าเริ่มมีไวรัสแพร่ระบาดโดยใช้ข้อบกพร่องแบบ Cross Site Scripting ดังกล่าวนี้แล้ว โดยข่าวนี้มีการแพร่กระจายไปอย่างรวดเร็วบนทวิตเตอร์ ข้อความดังนี้

"Listen up guys : Don't watch any youtube videos or comment them today, there's a virus! Spread!," made it into the "top tweets."

โดย Mikko H. Hypponen ซึ่งเป็นหัวหน้าฝ่ายวิจัย (Chief Research Officer) ของ F-Secure และเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์และอธิบายข้อความที่โพสต์บนทวิตเตอร์ว่า การใส่แท็ก '' ที่ 2 ในคอมเมนต์ของ YouTube จะทำให้สามารถฝังโค้ด JavaScript ลงในคอมเมนต์ได้

อนึ่ง ข้อบกพร่องแบบ Cross-site scripting นั้นจะทำให้ไม่สามารถทำการตรวจสอบผู้ใช้ที่ทำการส่งข้อมูลผ่านทางฟอร์มบนหน้าเว็บได้ ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีโดยการฉีดโค้ดที่ไม่ได้รับอนุญาตเข้าในหน้าเว็บ โดยข้อบกพร่องแบบ Cross-site scripting มีอยู่หลายประเภทและส่วนใหญ่จะยังไม่ได้รับการแก้ไข ทำให้มีผลกระทบอย่างถาวรต่อหน้าเว็บ เนื่องจากแฮกเกอร์สามารถที่จะใช้โจมตีระบบได้ง่ายๆ เพียงแค่หลอกล่อผู้ใช้ให้เปิดยูอาร์แอลประสงค์ร้ายเท่านั้น

แหล่งข้อมูลอ้างอิง
Softpedia

© 2010 TWA Blog. All Rights Reserved.

Related Posts:

  • Antimalware Engine 1.1.8403.0 released to Microsoft Security Essentialsไมโครซอฟท์อัปเดท Antimalware Engine ของโปรแกรม Microsoft Security Essentials เป็นเวอร์ชัน 1.1.8403.0 16 พฤษภาคม 2555: ไมโครซอฟท์อัปเดทแอนตี้มัลแวร์เอนจินของโปรแกรม Microsoft Security Essentials (MSE) เป็นเวอร์ชัน 1.1.8403.0 โ… Read More
  • Microsoft will release 6 updates to address 11 vulnerabilities in Windows, Office, IE, Forefront UAG and .NET Framework next weekไมโครซอฟท์เตรียมออก 6 อัปเดทในสัปดาห์หน้าเพื่อแก้ 11 ช่องโหว่ความปลอดภัยในระบบ Windows, Office, Internet Explorer, Forefront UAG และ .NET Framework มี 4 อัปเดทสำหรับแก้ปัญหาร้ายแรงวิกฤต 11 เมษายน 2555: ไมโครซอฟท์ออก Patch Tu… Read More
  • Microsoft will release 7 updates to address 23 vulnerabilities in Windows, Office, Silverlight, and .NET Framework in May 2012 Security Updateไมโครซอฟท์เตรียมออกอัปเดทความปลอดภัยเดือนพฤษภาคม 7 ตัว เพื่อปรับปรุง 23 ช่องโหว่ความปลอดภัยใน Windows, Office, Silverlight และ .NET Framework 9 พฤษภาคม 2555: ไมโครซอฟท์ออกอัปเดทความปลอดภัยเพื่อปรับปรุงช่องโหว่ความปลอดภัยร้าย… Read More
  • New Windows Live SkyDrive optimized with HTML5, faster, easier, more beautifulไมโครซอฟท์ปรับปรุง SkyDrive โดยใช้ HTML5 เพื่อให้ทำงานเร็วขึ้น ใช้งานง่ายขึ้น และสวยงามมากขึ้น วันที่ 21 มิถุนายน 2554 ที่ผ่านมา ไมโครซอฟท์ได้ทำการปรับปรุงบริการ SkyDrive ซึ่งเป็นบริการพื้นที่เก็บข้อมูลแบบกลุ่มเมฆ (Cloud) ฟรี… Read More
  • Antimalware Engine 1.1.8304.0 released to Microsoft Security Essentialsไมโครซอฟท์อัปเดท Antimalware Engine ของโปรแกรม Microsoft Security Essentials เป็นเวอร์ชัน 1.1.8304.0 24 เมษายน 2555: ไมโครซอฟท์ออกโปรแกรม Microsoft Security Essentials 4.0 เวอร์ชันเต็มแล้ว 18 เมษายน 2555: ไมโครซอฟท์อัปเดทแอ… Read More

0 Comment: