Un bug dangereux a été découvert et exploité avec succès dans la fonctionnalité du réseau social Vkontakte - stocké XSS avec la fonctionnalité d'un ver de réseau.
La vulnérabilité a maintenant été corrigée.
Les communautés et les utilisateurs de VKontakte dans la soirée du 14 février ont commencé à publier le même message. Le dossier indique qu'une publicité est apparue dans des messages personnels sur le réseau social.
La veille du piratage, la communauté «Bagosy» a eu une discussion sur la vulnérabilité, cependant, le réseau social n'était pas prêt pour l'attaque.
Après le début de l'attaque, la communauté a été bloquée, mais plusieurs clones sont immédiatement apparus.
Dès réception d'un code malveillant, il est immédiatement traduit dans tous les dialogues personnels et les communautés des personnes attaquées, augmentant la pandémie.
Le code javascript utilisé se trouve sur le lien .
Il est à noter que le code de charge utile js contient plusieurs messages qui sont ajoutés arbitrairement lors de la distribution:
var t = [" .. mail group telegram", " , ", ", , *", " ", " ", ", , ", " *, ", " ", " ", " ", " ", " ", " ", " , !", " , ", " , , , , .., "], d = [" K a a x e", ": p o", " ", " ", " ", " x ", " ", "a o ", " B ", " ", " ", ": ", ": ", " o y e", " - ", " - "],
Les vulnérabilités de cette classe et de cet effet sont assez rares, mais se produisent néanmoins. Le coût d'une telle vulnérabilité doit être estimé en fonction de son impact et des dommages qu'elle peut causer aux utilisateurs. Certains réservistes peuvent ne pas être d'accord avec la politique de rémunération et choisir une autre solution - en l'utilisant dans la nature pour plaisanter et en attirant l'attention sur le problème.
Que faire: déconnectez-vous de toutes les sessions du réseau social et modifiez le mot de passe (facultatif, mais souhaitable), et vérifiez également le numéro de téléphone et l'adresse e-mail associés au compte.