Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: C|Net, submitter: redstorm

Op MySpace is enkele dagen geleden een video verschenen, die tijdens het afspelen het gebruikersprofiel van ingelogde MySpace-gebruikers aanpast door de video er aan toe te voegen en links naar frauduleuze websites in te voegen.

MySpace LogoDe kwaadaardige video is een QuickTime-video die misbruik maakt van een twee weken geleden gepubliceerd lek in de MySpace-software en de ondersteuning voor JavaScript in Apples QuickTime-mediaspeler. Wanneer een ingelogde MySpace-gebruiker de video bekijkt, zorgt deze ervoor dat via crosssitescripting automatisch de linkjes in het gebruikersprofiel naar phishingwebsites gaan verwijzen en wordt de video in het profiel ingevoegd. Dit zorgt ervoor dat iedere gebruiker die het profiel van de besmette gebruikers bezoekt, vanzelf ook te maken krijgt met de videoworm, die Ofigel is genoemd. Om te kunnen 'genieten' van dit alles, is het noodzakelijk gebruik te maken van een browser op het Windows-platform. Van zowel Internet Explorer als Firefox is bekend dat de worm via deze browsers zijn werk kan doen. MySpace is inmiddels begonnen met het offline halen van de besmette gebruikersprofielen en het blokkeren van url's die verwijzen naar het gewraakte QuickTime-filmpje. Ook Apple heeft aangegeven te werken aan oplossing voor het crosssitescriptingprobleem.

Moderatie-faq Wijzig weergave

Reacties (42)

Als ik het dus goed begrijp staan die javascriptjes op een domein buiten myspace.com

Firefox & NoScript plugin (met default: deny javascript en myspace.com toestaan) is een prima oplossing voor deze (en vele andere smerige javascript) problematiek.

@Maurits:
Dan ook Myspace maar blokkeren wat javascript betreft. Weet niet of de site het dan nog doet...maarja, ik kom er toch nooit :+.
Volgens mij draaien die Javascriptjes dus juist wel gewoon op Myspace.com. Of ze moeten dat de laatste week ineens hebben uitgezet.

Edit: ah, Myspace doet inderdaad tegenwoordig een poging om Javascript te voorkomen. Het is echter toch te omzeilen.
MySpace staat gebruikers toe HTML te gebruiken op hun profiel en daarbij is het mogelijk om Flash, Quicktime en andere embedded meuk in te voegen.

Zolang het mogelijk is om dat soort content in te voegen blijf je dit soort problemen hebben bij Myspace. Met Flash hebben ze ook lange tijd dit soort problemen gehad. Straks is er weer een ander embedded medium de sjaak.
MySpace laat inderdaad de meest krankzinnige meuk op hun site toe en omdat het profiel met de kwaadaardige code meestal feitelijk op de servers van MySpace zelf staat wordt het dus vanaf het echte myspace.com domein uitgevoerd. Scannen voor phishing detectie op domeinnaam zoals bij echte XSS is dus niet echt mogelijk.

Paar weken geleden nog ophef over een enorme phishing actie van usernames en passwords en nu alweer dit. Het is waarschijnlijk ook niet de laatste keer. Zolang ze zaken pas disablen als er misbruik van wordt gemaakt lopen ze dus altijd achter de feiten aan.
Het probleem waar MySpace mee zit als zij deze features niet doen zijn er nog genoeg andere sites die dat wel doen. Gebruikers kijken naar functionaliteit, dat dit ook openstaat voor misbruik denkt het merendeel vd MySpace-groep niet overna.
Omgekeerd kan dit ook voorkomen op elke willekeurige site die een persoon zelf in elkaar kan zetten en daar is een bezoeker ook geacht over na te denken dat er problemen kunnen ontstaan, het is jammer dat alleen IE7.0 blijkbaar dit soort fouten tot op heden detecteerd en gebruikers ervan op de hoogte brengt.
IE7 geeft keurig een QuickTime Script waarschuwing, waarbij extra bevestigt moet worden dat je toestaat dat QuickTime van de script mogelijkheden gebruik kan maken, dus dat scheelt weer.

@successor, dat is dus het punt, het filmpje werkt gewoon, en je moet zowel op de gele informatiebalk, als op "ok" klikken. In de tussentijd laad de website en speelt de film/etc gewoon zonder problemen.

Het lastige is dat je per domein/site moet opgeven om nooit meer de Quicktime Script melding te krijgen, maar éénmaal op het 'x' kruisje klikken van de gele informatiebalk is daar voldoende voor.
alleen denk ik dat de meeste mensen (die niks van compouters weten) gewoon op OK klikken en naar het filmpje kijken ...
Ik anders ook hoor ;)
Ik heb haast net als veel andere mensen :)
Ik wil alleen geen IE7, dan moet ik eest upgraden naar XP. En dat alleen voor de browser?? Kom op.. Da's toch gemeen.
Het staat je vrij om met bijvoorbeeld Opera te surfen. Hoezo gemeen? Dat zou alleen het geval zijn als je geen keus had.
IE6 draait ook niet op windows 3.1, is dat ook niet erg gemeen?
Er is nog altijd een heel groot verschil tussen iets niet kunnen draaien op een 16 bit veredelde dos window manager uit '92 en een os waarvan de huidige versie niet meer is dan een minor upgrade van Windows 2000...
waarom, menuprogjes zoals KDE en Gnome worden nog steeds met open armen ontvangen als zijnde een grote vernieuwing op het Linux platform. Waarom dan niet gewoon bijblijven als MS een update uitbrengt die wel vernieuwend is op dat platform?
Om te kunnen 'genieten' van dit alles, is het noodzakelijk gebruik te maken van een browser op het Windows-platform.
Waarom is hier eigenlijk Windows voor nodig? Quicktime is er ook voor OS/X, javascript wordt vast ook wel op een Mac ondersteund en een Crosssite scripting probleem lijkt mij redelijk OS onafhankelijk.
ik vrees dus voor de Windows gebruikers dat JavaScript de eigenlijke boosdoener is en dat we daar op MacOS geen last van hebben...
Hoewel Brazilfunk wel een beetje afgezeken wordt, denk ik dat hij gelijk heeft.
OS X is minder vatbaar voor kwetsbare software dan Windows en dat zal met Vista niks niet beter worden. Apple scheidt de lagen van het OS gewoon veel strikter en beter dan Windows welke met allerlei vage API's zo lek als een mandje is.

Overigens besmet dit natuurlijk je OS niet, het lijkt een combinatie te zijn van een slechte MySpace oplossing ism dat JavaScript.
Javascript heeft niks met Windows te maken ;)

Jammer dat de scripts al offline worden / zijn gehaald, want het artikel wekt een suggestieve flaw in Windows.

Wat mij betreft zit de fout in de Browsers, zowel voor IE als Firefox; deze laten in de eerste instantie cross-browser scripting toe :)
ik wil hier toch even op reageren.

In dit geval gaat het hier om een gecombineerde exploit, in fouten van zowel de code van MySpace, en in de code van Quicktime...

IE mensen krijgen een waarschuwing, FF gebruikers niet..

Ik ben het met je eens dat Windows niet waterdicht is, maar om MS vanwege dit nieuwsbericht _weer_ de grond in te stampen, is wel erg zwakzinnig.

Elk product bevat fouten (ook Mac OS X / Linux dus..) Alleen, virusschrijvers willen de massa bereiken, de massa gebruikt Windows. Dat doet dus niets af aan het product zelf.

Bij voorkeur draai ikzelf OS X, gewoon omdat ik het zelf prettiger vind werken, niet omdat ik in de waan ben dat ik dan "veiliger ben", want dat ben ik niet.
Bij voorkeur draai ikzelf OS X, gewoon omdat ik het zelf prettiger vind werken, niet omdat ik in de waan ben dat ik dan "veiliger ben", want dat ben ik niet.
Ben benieuwd wat je denkt dat er allemaal voor "onveilige" dingen kunnen gebeuren met je OS X installatie. Ik denk niet dat je 5 serieuze dingen kunt opsommen. ;)
Het mac/linux equivalent van een del *.* /q/s in je My documents is zo ongeveer het ergste wat de gemildelde thisgebruikers (die nooit backups maakt) kan overkomen.
Ik ben er van overtuigd dat Mac OS X niet compleet veilig is. De reden dat "we" ( :P ) er nog geen last van hebben, is omdat exploits & virussen zich richten op het grote publiek, Windows.

Dat neemt niet weg, dat de unix laag van OS X, op papier gezien veel veiliger is. Dat ben ik met je eens! :)
Het mac/linux equivalent van een del *.* /q/s in je My documents is zo ongeveer het ergste wat de gemildelde thisgebruikers (die nooit backups maakt) kan overkomen.
alsof de gemiddelde thuisgebruiker zich in de shell van MacOS X waagt. Ik dacht het niet.
en ik ga het zo lang roepen todat er meer malware exploits virusen etc op unix platformen komen dan op windows.
Als je een worm wilt verspreiden dan doe je dat via een paltform dat een zo groot mogelijk bereik heeft onder het publiek, en dat is windows. Als 90% van de mensen unix/linux hadden gebruikt, dan was het probleem waarschijnlijk op zo'n OS te zien.

Wat jouw reactie echter nóg triester maakt is de totale afwezigheid van enige argumentatie. Je trekt conclusies die nergens op slaan en wat je wilt bereiken door het net zo lang te roepen totdat het ook op unix gebeurt ontgaat me compleet.
Quicktime-Alternative ?!?! heeft die er ook last van?
zowel Internet Explorer als Firefox
Eindelijk iets dat browser onafhankelijk is gemaakt :Y)
grappig, een worm dat zich versprijd met een apple programma, en dan infecteerd ie nog geen osx ook :9
Hehe, dat doet denken aan het volgende bericht van enkele maanden geleden:
nieuws: Apple laat Windows-virus aan aandacht ontsnappen
die script mogelijkheden zitten niet voor niets in QuickTime, je moet dus weten of een script wel of niet schadelijk is, veel virussen/aanvallen worden veroorzaakt door java scripts, de ontwikkelaars van java virtual machine vinden het blijkbaar normaal om je computer open te zetten voor van alles en andere bedrijven moeten die puinhoop maar zien op te ruimen
er is een klein verschil tussen java en javaSCRIPT :P
Javascript!=Java en gebruikt dus geen virtual machine. De bug zit hier in de ondersteuning van JavaScript in QuickTime, fout ligt dus bij Apple en, zoals te lezen is, in de MySpace-software. :)
firefox extentension noscript is een must vind ik en dit soort berichten bevestigen dit maar al te goed.
En werkt noscript ook voor Quicktime Javascript? ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True