WPKontakt i Tlen podatne na atak

W ciągu niespełna tygodnia w znanym i dość popularnym komunikatorze Gadu-Gadu wykryto kilka poważnych błędów, które pozwalały wywołać zewnętrzny kod, wykraść dane z komputera ofiary a nawet zawiesić aplikację. Niestety jak się okazuje oprócz komunikatora Gadu-Gadu inne również znane komunikatory jak Tlen oraz WPKontakt posiadają błędy.

Komunikator Tlen oraz WPKontakt również podatne są na ten sam błąd, co Gadu-Gadu. Jak już wiadomo błąd pozwala na przesłanie do użytkownika dowolny łańcuch znaków który może być dowolnym adresem internetowym, a w nim może „ukrywać” się kod javascript bądź też odnośnik do pliku z kodem który ma wykonać się na komputerze ofiary.

W komunikatorze WPKontakt błąd objawiał się podczas wyświetlania adresów e-mail umożliwiający potencjalnemu atakującemu wykonanie kodu JavaScript przez wysłanie specjalnie spreparowanej wiadomości.

Przykładem takiej odpowiednio spreparowanej wiadomości może być:

test@”style=”background-image:url(javascript:alert(%22You%20are%20owned!%22>))”.wp.pl

Zarówno ostatnia wersja komunikator WPKontakt 3.0.1pl oraz komunikatora Tlen 5.23.4.2 posiadają stosowne poprawki zabezpieczające użytkownika przed tego typu atakiem, a więc osoby korzystające z ów komunikatorów powinny jak najszybciej zaopatrzyć się w aktualną wersję.

Zobacz również:
– Exploit rozsyłany w sieci Gadu-Gadu
– Dwa nowe błędy w Gadu-Gadu
– Kolejne bardzo poważne błędy w Gadu-Gadu