แฮกเกอร์โจมตีเว็บไซต์ YouTube ผ่านทางข้อบกพร่องแบบ Cross Site Scripting (XSS)
บทความโดย: Windows Administrator Blog
ในช่วงปลายสัปดาห์ที่ผ่านมามีรายงานว่าแฮกเกอร์ได้โจมตีเว็บไซต์ YouTube ด้วยการฝังโค้ด JavaScript ไว้ในคอมเมนต์โดยอาศัยข้อบกพร่องแบบ Cross Site Scripting (XSS) อย่างไรก็ตาม หลังจากได้รับรายงานการโจมตี Google ก็ได้ทำการแพตซ์ข้อบกพร่องดังกล่าวนี้ในทันที สำหรับเป้าหมายของการโจมตีจะพุ่งไปยังคลิปวีดีโอของ "Justin Bieber" ที่เป็นนักร้องขวัญใจวันรุ่นและมีแฟนคลับบนโลกออนไลน์เป็นจำนวนมาก
โดย Google ได้ออกแถลงการณ์อย่างเป็นทางการแจ้งว่า การแก้ไขปัญหาครั้งนี้ใช้เวลาในการดำเนินการจำนวน 2 ชั่วโมง และในระหว่างที่ทำแก้ไขปัญหานั้นเว็บไซต์ YouTube จะไม่ทำการแสดงคอมเมนต์เป็นเวลา 1 ชั่วโมง ทั้งนี้ Google ได้กล่าวในตอนท้ายของแถลงการณ์ว่า "จะทำการศึกษาถึงการเกิดปัญหาครั้งนี้เป็นกรณีตัวอย่างเพื่อป้องกันไม่ให้เกิดปัญหาลักษณะนี้อีกในอนาคต"
สำหรับข้อบกพร่องแบบ Cross Site Scripting ที่พบในครั้งนี้ ทำให้แฮกเกอร์สามารถใส่โค้ด JavaScript ลงในคอมเมนต์ของเว็บไซต์ YouTube ได้ ค้นพบโดยแฮกเกอร์หมวกเทา (Grey Hat Hacker) ชาวโรมาเนียที่เรียกตัวเองว่า "TinKode" ซึ่งหลังจากค้นพบได้นำไปโพสต์ในบล็อกเมื่อวันเสาร์ 3 กรกฏาคม 2553 หลังจากนั้นไม่นานแฮกเกอร์ซึ่งเป็นสมาชิกของ "4chan" ก็เริ่มลงมือทำการโจมตีบรรดาแฟนคลับของ Justin Bieber
นอกจากนี้ ยังมีข่าวลือว่าเริ่มมีไวรัสแพร่ระบาดโดยใช้ข้อบกพร่องแบบ Cross Site Scripting ดังกล่าวนี้แล้ว โดยข่าวนี้มีการแพร่กระจายไปอย่างรวดเร็วบนทวิตเตอร์ ข้อความดังนี้
"Listen up guys : Don't watch any youtube videos or comment them today, there's a virus! Spread!," made it into the "top tweets."
โดย Mikko H. Hypponen ซึ่งเป็นหัวหน้าฝ่ายวิจัย (Chief Research Officer) ของ F-Secure และเป็นผู้เชี่ยวชาญด้านความปลอดภัยได้วิเคราะห์และอธิบายข้อความที่โพสต์บนทวิตเตอร์ว่า การใส่แท็ก '' ที่ 2 ในคอมเมนต์ของ YouTube จะทำให้สามารถฝังโค้ด JavaScript ลงในคอมเมนต์ได้
อนึ่ง ข้อบกพร่องแบบ Cross-site scripting นั้นจะทำให้ไม่สามารถทำการตรวจสอบผู้ใช้ที่ทำการส่งข้อมูลผ่านทางฟอร์มบนหน้าเว็บได้ ทำให้แฮกเกอร์สามารถใช้เป็นช่องทางในการโจมตีโดยการฉีดโค้ดที่ไม่ได้รับอนุญาตเข้าในหน้าเว็บ โดยข้อบกพร่องแบบ Cross-site scripting มีอยู่หลายประเภทและส่วนใหญ่จะยังไม่ได้รับการแก้ไข ทำให้มีผลกระทบอย่างถาวรต่อหน้าเว็บ เนื่องจากแฮกเกอร์สามารถที่จะใช้โจมตีระบบได้ง่ายๆ เพียงแค่หลอกล่อผู้ใช้ให้เปิดยูอาร์แอลประสงค์ร้ายเท่านั้น
แหล่งข้อมูลอ้างอิง
• Softpedia
© 2010 TWA Blog. All Rights Reserved.
Windows Administrator Knowledge Base
Social Profiles
เรื่องล่าสุด
- Adobe ออก Flash Player 24.0.0.221 เพื่อปิดช่องโหว่ร้ายแรงสูงสุด
- Adobe ออก Flash Player 24.0.0.194 เพื่อปิดช่องโหว่ร้ายแรงสูงสุด
- Microsoft Security Update มกราคม 2560 ปิดช่องโหว่ร้ายแรงใน Windows, Edge และ Office
- Microsoft Security Update ธันวาคม 2559 ปิดช่องโหว่ร้ายแรงใน Windows, IE, Edge, Office และ .NET Framework
- Microsoft Security Update พฤศจิกายน 2559 ปิดช่องโหว่ร้ายแรงใน Windows, IE, Edge, Office และ SQL Server
Popular Posts
-
บทความนี้ผมมีประสบการณ์การแก้ปัญหาล็อกออน Windows Server ที่เป็นสมาชิกของแอคทีฟไดเร็กตอรีโดเมนแล้วได้รับข้อความว่า "The trust relations... -
สำหรับใครที่สงสัยว่า Aero Snap ใน Windows 7 คืออะไรและมีวิธีการใช้งานอย่างไร? บทความนี้มีคำตอบครับ Aero Snap ใน Windows 7 เป็นฟีเจอร์ที่ช... -
ปัจจุบันมีไวรัสและมัลแวร์ประเภท VB Script ใช้เทคนิคการแพร่ระบาดด้วยการรันโดยอัตโนมัติเมื่อผู้ใช้ต่ออุปกรณ์เก็บข้อมูลแบบพกพา เช่น แฟลชไดรฟ์ เ...
-
25 อันดับข้อผิดพลาดร้ายแรงในการพัฒนาโปรแกรมประจำปี 2010 ของ CWE/SANS บทความโดย: Thai Windows Administrator Blog 25 อันดับข้อผิดพลาดร้ายแร...
-
ปัญหา Windows Explorer ไม่แสดง Preview Pane Preview Pane ของ Windows Vista นั้น มีประโยชน์อย่างมาก โดยมันจะช่วยให้ยูสเซอร์ดูตัวอย่างของไฟล์เ...
Blog Archive
-
▼
2010
(603)
-
▼
July
(46)
- Download: Easeus Partition Master 6.1.1 Home Edition
- Windows Sysinternals Disk2vhd อัปเดทเป็นเวอร์ชัน 1.62
- Download: PortableApps.com Suite 1.6.1
- Google Chrome 5.0.375.125 fixes 5 security issues
- Mozilla Firefox 3.6.8 - Fixed stability issue affe...
- Windows 7 is now the second most popular operating...
- 175 Million Licenses of Windows 7 Sold
- iPad Available in 9 More Countries on Friday, 23 J...
- Windows 7 and Windows Server 2008 R2 Service Pack ...
- Download: AVG Anti-Virus Free Edition 9.0.851a3009
- Mozilla Firefox 3.6.7 - Fixed 8 critical security ...
- Apple ออก iTunes 9.2.1
- How to Sign in to Hotmail using Single-Use Code
- How to uninstall Windows 7 Service Pack 1 Beta
- Fix: The User Profile Service failed the logon. Us...
- New Zero-Day Critical Vulnerability in Windows She...
- Windows 7 64-bit users almost equal 32-bit users
- Dynamic Memory Beta – Supported Guest Operating Sy...
- 10 Things to Know about Windows 7 Service Pack 1 (...
- Install Windows 7 Service Pack 1 Beta from Windows...
- How to add Rich Text Signature to Gmail
- Problems While Installing Windows 7 Service Pack 1...
- Windows 7 Service Pack 1 Final will be released in...
- Microsoft Patch Tuesday July 2010
- Windows Sysinternals Disk2vhd อัปเดทเป็นเวอร์ชัน 1.6
- Download Windows 7 and Windows Server 2008 R2 Serv...
- ราคาโปรแกรม Microsoft Office 2010 พร้อมช่องทางการจ...
- Install Read-Only Domain Controller on Windows Ser...
- Uninstall Display Languages (MUI) in Windows 7
- Microsoft Security Bulletin Advance Notification f...
- White iPhone 4 Coming Soon
- 15 Must-Have Games for iPad
- พบช่องโหว่ความปลอดภัยร้ายแรงใหม่ใน Internet Explor...
- Cross Site Scripting (XSS) Bug Found on YouTube
- Windows 7 Professional and Office Professional Aca...
- Backdoor:Win32/Yonsole.A
- Google Adds Stats to Blogger Dashboard
- Google adds Share Buttons to Blogger
- Operating System Market Share June 2010
- What Is an Read-Only Domain Controller (RODC)?
- Google Chrome 5.0.375.99 fixes 9 security issues
- iPhone 4 available in 18 more countries
- How to install Google Chrome
- Microsoft Security Essentials 1.0.1963.0
- Office Small Business Basics 2010
- Sony VAIO F11 and CW2 Series overheating issue
-
▼
July
(46)
-
Labels
Apple Download Firefox Google Hyper-V Server Internet Explorer 10 Internet Explorer 11 Internet Explorer 8 Internet Explorer 9 Microsoft Office 2010 Office 2013 Operating System Security Security Update Tech News Tips Tutorials VMware Virtualization Virus Alert Windows 7 Windows 8 Windows 8.1 Windows Server 2003 Windows Server 2008 Windows Server 2012 Windows Vista Windows XP
-
ผู้ติดตาม
Copyright © 2025
Windows Administrator Blog | Powered by Blogger
0 Comment:
Post a Comment