YouTube-bug maakt uitvoeren code mogelijk - update

Door een fout in de verwerking van commentaren op YouTube kan er scriptcode uitgevoerd worden. Door de bug kunnen kwaadwillenden onder andere commentaren onzichtbaar maken of bezoekers naar een malware-site leiden.

De fout lijkt te worden veroorzaakt doordat de videosite ingevoerde comments onvoldoende controleert: een tweede script-tag wordt genegeerd, waardoor geïnjecteerde code in de browser kan worden uitgevoerd. Bij een groeiend aantal video's zou de truc inmiddels worden toegepast, zo melden GoT-gebruikers. Niet alleen zouden comments of video's onzichtbaar gemaakt worden, ook blijkt het mogelijk om YouTube-bezoekers te redirecten naar potentieel gevaarlijke websites.

Op moment van schrijven lijkt YouTube nog geen oplossing te hebben voor de bug, ondanks een eerdere melding in het forum van de videosite. Bezoekers kunnen het probleem deels omzeilen door de comments bij video's standaard uit te schakelen.

Update 16:10: YouTube heeft uit veiligheidsoverwegingen de commentfunctie op zijn site tot nader order uitgeschakeld.

IT-banen

Reacties (132)

Torrentus 4 juli 2010 15:32

Imageshack images:
http://img685.imageshack.us/img685/8803/imagepcg.jpg
http://img249.imageshack.us/img249/6189/naamloos3ze.png

Youtube voorbeeldjes:
http://www.youtube.com/wa...T6P4bsg&feature=topvideos
http://www.youtube.com/watch?v=SmtnpXrUI_o
http://www.youtube.com/wa...c_d9GHU&feature=topvideos

Nieuw trending topic in making:
http://twitter.com/search?q=%40youtube

Erg grappig dit, al kan het volgens mij ook wel gevaarlijk zijn. Ik ben al verschillende malen gewoon geredirect naar pornosites en chatboxes. Kwam zelfs terecht op een pagina die direct een Trojan wilde downloaden. Gevaarlijk als je geen goede virusscanner hebt.

Zou 't vandaag nog opgelost worden?

[Reactie gewijzigd door Torrentus op 25 juli 2024 19:41]

Baggeraar @Torrentus • 4 juli 2010 16:09

Zou 't vandaag nog opgelost worden?

De comments van alle video's staan nu in een zogenaamde veiligheids modus dus de code wordt niet meer automatisch uitgevoerd.
Lijkt me dus wel dat ze er mee bezig zijn

thedicemaster @Baggeraar • 4 juli 2010 16:39

ik wordt nog steeds doorgestuurd naar een andere site als ik de comments bekijk bij bepaalde filmpjes.

Verwijderd @Baggeraar • 4 juli 2010 18:28

Op het moment werkt alles weer gewoon op YT bij mij (alleen met chrome getest)

Finraziel

@Torrentus • 4 juli 2010 15:38

Op een kleiner scherm dan full-hd moet je even wat meer moeite doen om die screens van jou te kunnen bekijken, was handig geweest als je je browser even niet fullscreen had staan.
Moderatiecommentaar hoort trouwens niet in je post zelf, maar het is ondertussen toch al recht getrokken.

Verwijderd @Torrentus • 4 juli 2010 16:55

Jammer dat je niet even spoiler waarschuwing geeft voor de eerste imageshack link, ik heb ufc 116 opgenomen en nog niet gekeken...
Erg toevallig en ik neem het je ook niet kwalijk, maar m'n avond is wel aan gort nu

CodeCaster @Verwijderd • 4 juli 2010 17:29

Maak je niet druk man, het is maar een wedstrijd

Verwijderd @CodeCaster • 4 juli 2010 21:43

Toch zonde van die 50 euro, naja, volgende keer niet meer op forums komen tot de boel gekeken is

Baggeraar @Torrentus • 4 juli 2010 17:20

Het is al GEFIXT, snel werk van google. $_/-\o_$

jeffhuys @Torrentus • 4 juli 2010 15:41

Origin:

/b/, what else.

Ik meen het, 4chan started it... Again.

strijkijzer2 @jeffhuys • 4 juli 2010 17:08

OUR HOUR IS NOT OVER YET FAGS.

Create video response
Name of video = script of choice
???
WORKING, VERIFIED AND UNABLE TO BE FIXED EASILY BY YOUTUBE.

Enjoy!

het is nog niet klaar ook

Verwijderd @jeffhuys • 4 juli 2010 17:12

4chan heeft er zelf overigens niks mee te maken, men is er al lang achter dat ebaumsworld achter deze actie zat.

Verwijderd @jeffhuys • 4 juli 2010 16:03

Psst, regel 1 en 2 van het internet

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:41]

twisterNL @Torrentus • 4 juli 2010 15:51

Niet op youtube gaan op dit moment. Nu word er geprobeerd om account gegevens te stelen. Ook zijn er verhalen dat System32 verwijderd kan worden van je computer als je IE of opera gebruikt. Ook word je overal naartoe geleid...

Nou ja, als je slim bent blijf je er weg en anders is het je eigen risico.

Room42 @twisterNL • 4 juli 2010 15:54

Ook zijn er verhalen dat System32 verwijderd kan worden

Dat is alleen technisch onmogelijk omdat er bestanden in gebruik zijn. Maar dat men onbeperkt javascript uit kan voeren is wel degelijk kwalijk en niet zonder risico.

johnkeates @Room42 • 4 juli 2010 21:35

Bij mij mogen ze system32 wel wegdoen hoor, ik gebruik toch geen windows.

The_Worst @twisterNL • 4 juli 2010 15:58

Sinds wanneer heeft JavaScript toegang tot het bestandssysteem?

hostname @jeffhuys • 4 juli 2010 16:11

je wordt weggemod omdat je onzin praat. De Youtube-exploit maakt het mogelijk om willekeurige JavaScript code uit te voeren. Deze code staat nu op youtube; maar dat kan op iedere site staan. JavaScript heeft totaal geen toegang tot je bestandssysteem. IE en Opera ondersteunen wel de file:/// urls, maar daar kan JavaScript niet bij. Bovendien is het verwijderen van bestanden al helemaal onmogelijk via JavaScript. Gewoon bangmakerij dus.

Room42 @jeffhuys • 4 juli 2010 16:29

Nee, dat kan niet. Je kunt geen parameters meegeven in een file:///-url

Het is gevaarlijker dat ze naar externe sites kunnen linken/redirecten dan dat ze naar je locale files kunnen linken.

[Reactie gewijzigd door Room42 op 25 juli 2024 19:41]

jeffhuys @Room42 • 4 juli 2010 16:32

Je kunt geen parameters meegeven in een file:///-url

Ahhh ok! I stand corrected. Maar dan nog is het raadzaam om er even niet heen te gaan, haha.

Verwijderd @jeffhuys • 4 juli 2010 16:32

maak maar eens een javascriptje die dat doet directe file acces heb je niet

Verwijderd @jeffhuys • 4 juli 2010 18:30

Dan zullen ze wel eerst zelf die map op mijn PC moeten aanmaken, want ik heb hier geen PC's die een system32-map hebben.

Overigens kun je die map sowieso niet verwijderen. Je hebt namelijk helemaal geen rechten om die bestanden te verwijderen. Je zou dus eerst het ownership moeten overhevelen naar de ingelogde gebruiker. Als je dat hebt gedaan kom je nog niet ver, aangezien een groot gedeelte van die bestanden in gebruik zijn als de PC is opgestart, dus dan kun je ze sowieso niet verwijderen.

DLGandalf @Verwijderd • 5 juli 2010 01:10

ach er zijn vast wel wat oude exploits onder XP die dat wel kunnen waar je nog standaard administrator bent. Maar iemand die goed gepatched is heeft waarschijnlijk weinig te vrezen.

kamustra @jeffhuys • 4 juli 2010 21:27

Waarom zou dit alleen met deze browsers gaan? Welke overeenkomsten hebben deze die andere browsers niet hebben?

jaricool 4 juli 2010 16:07

Bij sommige filmpjes staat er nu :
Reacties op deze video zijn verborgen door de veiligheidsmodus.
Heeft de maker dat dan gedaan of youtube zelf?

G70boX @jaricool • 4 juli 2010 16:08

Youtube heeft dit voor alle videos gedaan voor zover ik zie.

sjaakwortel @jaricool • 4 juli 2010 16:08

tis bij alle filmpjes nu volgens mij, zal youtube zelf wel zijn

Manuel 4 juli 2010 16:00

Hoe kan een groot bedrijf als Google dit nou laten gebeuren? Ik snap sowieso niet waarom ze überhaupt HTML toestaan in de reacties maar dat is een tweede vraag. Google geeft zelf les in beveiligen terwijl ze YouTube niet eens genoeg hebben beveiligd.

Ik denk nu dat Google maar eens de werknemers mogen ontslaan die dit hebben kunnen laten gebeuren. Dit soort fouten verwacht je namelijk van een beginner maar niet van personen die al X jaar ervaring hebben.

Jarige @Manuel • 4 juli 2010 23:31

Hoe kan een groot bedrijf als Google dit nou laten gebeuren?

Omdat er mensen werken.

Ik snap sowieso niet waarom ze überhaupt HTML toestaan in de reacties maar dat is een tweede vraag. Google geeft zelf les in beveiligen terwijl ze YouTube niet eens genoeg hebben beveiligd.

Ze staan geen HTML toe. Er was alleen iets wat blijkbaar wel foutief toegelaten werd en dat is dus misbruikt. Vanzelfsprekend heeft Google wat gedaan aan hun beveiliging. Het is oersimpel om een onbeveiligde site te hacken. Naar mijn weten is dit een van de grootste hacks op Youtube sinds de oprichting en het is best een prestatie dat het pas na al die jaren gebeurt! Want dat het zou gebeuren is op zich onvermijdelijk met zo'n populaire site...

drdelta @Jarige • 5 juli 2010 01:57

Desalniettemin is dit iets wat niet had mogen gebeuren. Als dergelijk groot bedrijf moet je ook zelf proberen je dingen te 'hacken' om op vrijwel alle mogelijk manieren ervoor dat te zorgen (en te checken) of je product veilig is. Ik zou niet graag willen hebben dat mijn dochter een filmpje had gezien van het kaliber 2girls1cup/1man1jar etc. terwijl zij een muziekclip van een of andere band wilde bekijken.

Manuel @Jarige • 5 juli 2010 03:25

Indien er machines zouden werken, zou het dan wel acceptabel zijn geweest? Dat lijkt mij dus niet, dit is een fout die gewoon niet had mogen gebeuren.

Ze staan geen HTML toe. Er was alleen iets wat blijkbaar wel foutief toegelaten werd en dat is dus misbruikt. Vanzelfsprekend heeft Google wat gedaan aan hun beveiliging. Het is oersimpel om een onbeveiligde site te hacken. Naar mijn weten is dit een van de grootste hacks op Youtube sinds de oprichting en het is best een prestatie dat het pas na al die jaren gebeurt! Want dat het zou gebeuren is op zich onvermijdelijk met zo'n populaire site...

Ze hebben blijkbaar wel HTML toegelaten op hun systeem omdat er nog een debug mode op zat. Hoe eBaumsWorld aan deze constant (als ik het zo kan noemen) is gekomen is en blijft een raadsel, zal wel intern zijn gebeurd of met een beetje heel erg veel geluk.

Maar goed.. De schade die deze hackers hebben is niet van grote proportie als ik de XSS injectie zie. Hoogstens zal er wat mal-ware zijn gedownload maar daar zal het ook wel bij zijn gebleven.

Eliaz 4 juli 2010 18:09

Dan vraag ik mij toch wel af hoe het staat met de andere services van Google met betrekking tot XSS lekken.

Soultaker

@Eliaz • 4 juli 2010 18:52

Dat kun je je afvragen inderdaad, maar je moet er wel bij bedenken dat YouTube niet door Google zelf ontwikkeld is. Het bedrijf dat YouTube ontwikkelde is weliswaar opgekocht door Google, maar was en is nog steeds een aparte organisatie. Je kunt dus niet zomaar aannemen dat Google er dezelfde ontwikkelingsmethodologie op nahoudt als YouTube.

graceful @Soultaker • 4 juli 2010 21:05

Als ik het goed heb heeft het Google Team de reactie methode volledig 'opnieuw' gecode, vroeger was deze module(?) totaal anders, lijkt me niet dat ze dit op basis van oude code hebben gedaan. Hoeft maar ergens iets vergeten te zijn en dit soort lekken zijn mogelijk.

Apart is echter dat dit niet getest is sinds ze zelf een website leveren die je informatie geeft over XSS lekken.

Niosus @graceful • 4 juli 2010 22:51

Google wordt nog steeds gerund door mensen. Af en toe maken mensen fouten. Het is binnen de paar uur opgelost, en ik denk dat ze nu de hele site aan het nakijken zijn voor gelijkaardige exploits. Al bij al zeer netjes opgelost om een feestdag te zijn

sfc1971 @graceful • 5 juli 2010 12:37

Dat het op nieuw geschreven is NA de overname betekend niet dat het "Google Team" (wat dat ook zou mogen wezen) er maar iets mee te maken heb gehad.

Wat is het "Google Team"?

De search engine? De ad people? De search appliance? Gmail? Google Docs?

Denk zelf dat Youtube laag in de rang orde staat. Waar werk je liever aan. Youtube or Wave?

Verwijderd 4 juli 2010 15:58

Volgens mij zijn de comments nu overal verborgen 'door de veiligheidsmodus'.
Tijdelijke oplossing, maar nu kun je YT tenminste weer gebruiken

Kaasje123 @Verwijderd • 4 juli 2010 16:06

Yep kwam ik ook zojuist achter. Toch wel erg slecht van Youtube beheerders. Je zou toch verwachten dat voor dit soort extreem populaire sites goed gekeken wordt of de veiligheid op orde is?

hackerhater @Kaasje123 • 5 juli 2010 11:39

gezien in het bericht "dubbele scripttag" staat verwacht ik dat er wel een beveiliging op staat, maar dat crackers een manier hebben gevonden er langs te komen.

Het blijft een kat en muis spel

Milou @Verwijderd • 4 juli 2010 16:01

Wrong.
Oorspronkelijke code was ervoor bedoeld dat mensen niet meer konden reageren.
Youtube is gewoon te gebruiken.
/b/+/g/ is oorzaak en de mensen die daarop zitten.
Er zijn al betere codes die ook je browser vast laten lopen als je naar die video gaat.
Source: http://boards.4chan.org/g/res/11734472

edit: na typen van dit bericht las ik dat youtube blijkbaar in veilige modus ofzo is gegaan?
Edit2: Ik faal dus echt hard. alles wat hier staat klopt dus niets meer van...

[Reactie gewijzigd door Milou op 25 juli 2024 19:41]

The_Worst 4 juli 2010 15:45

Het is dus volgens mij ook zeer risicovol. Niet zozeer dat je wachtwoord gestolen wordt maar het zou me niet verbazen als hierdoor session-hijacking mogelijk wordt. De bug is pas sinds kort bekend, dus wie weet wat er allemaal mogelijk gaat zijn.

Het is daarnaast ook 4th of July (Onafhankelijkheidsdag) in Amerika dus wie weet hoe lang een oplossing op zich laat wachten.

SuperDre @The_Worst • 5 juli 2010 09:26

Niet alleen is de bug pas bekend, de vraag is natuurlijk hoe lang het al bekend is onder de 'hackers' en hoe lang deze al misbruikt wordt...

frickY 4 juli 2010 16:55

XSS is één van de meest voorkomende veiligheidslekken op websites. Slordigheid van de developers, maar wel één die je erg makkelijk maakt.
Op Tweakers is, met alle respect voor de developers, waarschijnlijk ook niet alles 100% afgeschermt.

Via dit lek is onder andere session-hijacking mogelijk, en kan met dus je account 'stelen'. Ben benieuwd hoelang dit underground al bekend was tot 4chan er mee aan de haal ging.

sfranken @frickY • 4 juli 2010 17:39

In theorie is alles 100% af te schermen. De praktijk werkt echter anders. Of, zoals een docent van mij dat zei:

If you make something idiot proof, the Universe provides a bigger idiot

link0007 5 juli 2010 08:49

als ze nu "<script>" blokken, wat doen ze dan met "<\tscript>" (let op de \t, een tab).. Of zelfs "<sc\tript>" (welke in sommige browsers ook werkt). Of <scr<script>ipt> (welke zou worden gefiltert tot <script>)

Iemand die dit wil testen? Ik heb geen youtube account en ben ook niet van plan een te maken hiervoor.

Verwijderd @link0007 • 5 juli 2010 08:58

Volgens mij zetten ze gewoon < om naar < en > om naar >. Zo voorkom je alle HTML tags. Dan kan je dingen als <b>..</b>, <u>...</u> eventueel weer parsen. Handiger is natuurlijk eigen BB-code, of wat ze in GMail doen (bijv. met sterretjes wordt *bold*). Maar volgens mij is op YouTube alleen plain-text in comments / titels toegestaan.

Ik snap dan ook niet hoe dit eigenlijk mogelijk kan zijn. Volgens mij is het gewoon een klassiek gevalletje van preg_replace verkeerd gebruiken, zonder de /g modifier. Zie namelijk het voorbeeld van de link in de post:

<div class="comment-text">
<script><script>IF_HTML_FUNCTION<wbr>?<h1><marquee><font color="red"><u>Hacked You All! Haha!!!<script>
</div>

De eerste < en > worden aangepast, maar daarna blijkbaar niet meer. Vandaar dat je in dergelijke posts steeds ziet staan "<script>", als gewone tekst, en daarna niet meer. Als je preg_replace doet (even een PHP voorbeeld), en dan niet /g aan het eind typt, wordt maar één keer de tag weg gehaald.

Wat mij ook lijkt is dat deze fout er al héél lang in zit, maar gewoon nooit ontdekt is. Maar ik moet zeggen dat het wel een gigantische blunder is...

Het punt is dat niet alleen <script> tags potentieel gevaarlijk zijn, ook <object>, <embed>, etc. kunnen nare dingen uithalen.

Edit: tags veranderd. @Tweakers, eigenlijk hoor je ook & naar & te replacen

dan kan je &'s gewoon typen

[Reactie gewijzigd door Verwijderd op 25 juli 2024 19:41]

AW_Bos

4 juli 2010 16:13

Dit geloof je toch ook niet. XXS is op de simpelste manier gewoon mogelijk op 's werelds grootste en bekendste video-platform ter wereld?
Ik ben benieuwd van YT nou met die gepostte crap gaat doen? Zelf verwijderen, of eerder onschadelijk maken?

DefLite @AW_Bos • 4 juli 2010 16:15

Het is al onschadelijk gemaakt, zo te zien verwijdert YouTube het grootste gedeelte zelf.

Verwijderd @DefLite • 4 juli 2010 16:18

De comments worden standaard niet geladen. Laadt je ze wel, dan werkt al het script nog. Het is dus (nog) niet onschadelijk gemaakt.

Voxyn 4 juli 2010 15:33

Ik zou je kinderen even niet op youtube laten komen, ik zocht zojuist een filmpje voor mijn 7 jarige neefje op van een of andere kinderserie en werd geforwarded naar 1 jar 1 man dus....

Ontopic: vreemd dat het na al die jaren nu pas ontdekt word of zit de bug er pas sinds een van de laatste veranderingen erin?

Op dit item kan niet meer gereageerd worden.

YouTube-bug maakt uitvoeren code mogelijk - update

Lees meer

IT-banen

Reacties (132)

Sorteer op:

Weergave: