在社交网络Vkontakte的功能中发现并成功利用了一个危险的错误-存储的XSS与网络蠕虫的功能。
该漏洞现已修复。
2月14日晚上,VKontakte的社区和用户开始发布同一篇文章。 记录说,广告出现在社交网络上的个人消息中。
黑客攻击发生的前一天,Bagosi社区就漏洞问题进行了讨论,但是,社交网络尚未为攻击做好准备。
攻击开始后,该社区被封锁,但立即出现了几个克隆。
收到恶意代码后,它将立即翻译成所有个人对话和被攻击者所在的社区,从而加剧了大流行。
可以在链接中找到使用的javascript代码。
值得注意的是,js有效负载代码包含在分发过程中任意添加的几条消息:
var t = [" .. mail group telegram", " , ", ", , *", " ", " ", ", , ", " *, ", " ", " ", " ", " ", " ", " ", " , !", " , ", " , , , , .., "], d = [" K a a x e", ": p o", " ", " ", " ", " x ", " ", "a o ", " B ", " ", " ", ": ", ": ", " o y e", " - ", " - "],
这种漏洞和影响非常罕见,但仍然会发生。 应该根据漏洞的影响及其可能对用户造成的损害来估算其成本。 一些储备者可能不同意薪酬政策,而是选择了另一种方式-在野外使用它,以开玩笑并引起人们对问题的关注。
怎么办:登出社交网络的所有会话并更改密码(可选,但可取),还检查与该帐户关联的电话号码和电子邮件。