Worm attacca MySpace passando per QuickTime

dany il 12 Dicembre 06 @ 09:27 am

Falla QuickTime: rischio Quickspace

Una settimana fa il popolare sito di social networking MySpace ha subito un attacco da parte del worm "Quickspace", così battezzato perché in grado di sfruttare una presunta "funzionalità" dei file video Apple QuickTime per iniettare ed eseguire codice javascript nocivo nelle pagine dei profili degli utenti del servizio. Il codice nocivo ha tentato di eseguire il phishing degli account compromessi e di distribuire spyware ad un numero non specificato di utenti con l'obiettivo ultimo di generare introiti per i suoi creatori. "Un profilo infetto può essere identificato dalla presenza di un video QuickTime vuoto o dai link modificati nella sezione della testata di MySpace", riportava un advisory rilasciato Venerdì da Websense Security Labs.

Secondo F-Secure, la causa principale di questo tipo di attacco non è una falla di MySpace, ma una "funzionalità" di Apple QuickTime che si rivela tuttavia essere "una vulnerabilità di sicurezza". QuickTime non implementa correttamente una "same origin policy" e non avverte l'utente prima di caricare ed eseguire codice javascript da risorse esterne, due caratteristiche d'obbligo per applicazioni di questo tipo. Per esempio, Flash permette l'uso di script embedded, ma avverte l'utente quando una applicazione tenta di accedere ad una risorsa esterna.


...continua la lettura di questa notizia.
Tweakness.netautorizza pc-facile.com a riportare la presente news.

Andrea. il 10 Gennaio 07 @ 21:25 pm

non basterebbe consigliare A mySpace di rimuovere il supporto per quicktime??