Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

Het lek in YouTube dat het mogelijk maakte om cross-site scripting-aanvallen uit te voeren, is door Google gedicht. Gisteren schakelde YouTube enkele uren de comment-functie uit nadat hackers scriptcode bij video's hadden geplaatst.

Het probleem van een niet goed functionerende controle op de invoer van comments kwam zondag aan het licht. Hierdoor konden onder andere commentaren onzichtbaar worden gemaakt, maar in bepaalde gevallen werden YouTube-bezoekers naar pornosites of malware gerouteerd. Met name video's van zanger Justin Bieber waren het doelwit van cross-site scripting-aanvallen.

Een woordvoerder van Google laat aan Network World weten dat de firma een uur na de ontdekking van de exploit besloot om de commentaarfunctie tijdelijk uit te schakelen. Enkele uren later zou het lek definitief zijn gedicht. Bovendien stelt de woordvoerder dat de bug het niet mogelijk maakte om toegangsgegevens voor Google-accounts buit te maken. De exploit zou afkomstig zijn van een gebruiker op het forum van eBaums World.

Moderatie-faq Wijzig weergave

Reacties (50)

Toch apart, dit soort bugs bij een bedrijf dat voornamelijk webapplicaties maakt..
het was geen bug, maar een exploit.
ja dat klopt maar wat is het verschil tussen een exploit en een bug ?

Edit:

Dus een Exploit is is een virus dat bug`s gebruikt
om website te hinderen
nou dit is is nieuw voor mij ik wist niet dat een web site last kon hebben van een virus

[Reactie gewijzigd door LIL_FIP op 5 juli 2010 13:17]

Een exploit is een manier om een bug te gebruiken/misbruiken.
In dit geval was het script dat mensen posten de exploit en die maakten gebruik van een bug in de code van youtube.
Een exploit maakt gebruik van een zwakte in het systeem. Het eploiteert een zwakte. Een zwakte wil niet zeggen een fout, het systeem werkt gewoon goed. Kwaadaardig intentie staat hierbij voorop.

Een bug is een fout waardoor een systeem kan vastlopen of niet goed functioneert. Hierbij is geen sprake van enige kwaadaardig intentie.

Het woord bug stamt af van de begintijd van de computer toen er nog mechanisch geschakeld werd. Er was toen een probleem en een vrouw, ik ben de naam kwijt, vond toen een mot tussen een van de schakelaars. Het woord bug werd toen een grappende aanduiding voor ongerechtigheden die programma's laten vast of fout lopen.

Ik vond dit nog op wikipedia
De ontdekking van de eerste computerbug wordt wel (ten onrechte) toegeschreven aan Grace Murray Hopper. Zij werkte in 1947 op de Harvard University. Bij het zoeken naar de oorzaak van een storing in de Mark II Aiken Relay Calculator vond een van de operators een nachtvlinder in relais nummer 70 op paneel F. Dit insect werd in het logboek geplakt, met als bijschrift "first actual case of bug being found" (eerste echte vondst van ongedierte).
Volgens Grace Hopper zelf werd de term bug al gebruikt voor een storing in de radar tijdens de Tweede Wereldoorlog. In het Engels is het woord bug een algemene benaming voor ongedierte zoals kevers. Nadien vond men de term "debuggen" uit. Dit was het controleren of er geen ongedierte in de computer verscholen zat; later kreeg het de betekenis van het verwijderen van fouten uit programma-code.
Hawkin's New Catechism of Electricity (1896 Theo. Audel & Co.)zegt erover:
The term "bug" is used to a limited extent to designate any fault or trouble in the connections or working of electric apparatus.
Zoekend naar de herkomst van de term schrijft dit boek:
said to have originated in quadruplex telegraphy and have been transferred to all electric apparatus.

Thomas Edison schreef in een brief in 1878:
It has been just so in all of my inventions. The first step is an intuition, and comes with a burst, then difficulties arise — this thing gives out and [it is] then that 'Bugs' — as such little faults and difficulties are called — show themselves and months of intense watching, study and labor are requisite before commercial success or failure is certainly reached.[1]
Het woord bug als term voor "fout" kan al ontstaan zijn in de 14e eeuw afgeleid van het Welsh woord *bwg* (Concise Oxford Dictionary of English Etymology).
Webster's 10th Collegiate Dictionary beschrijft het woord bug in de betekenis "an unexpected defect, fault, flaw, or imperfection" met bronnen teruggaand tot 1622.

[Reactie gewijzigd door degener op 5 juli 2010 14:15]

Het was natuurlijk geen exploit. Een exploit gebruik je om een bug te misbruiken voor (meestal) hele stoute dingen :)

Zo te zien zijn ook de comments weer enabled door Google.
valt gedirect worden naar sites die trojans installeren niet onder "hele stoute dingen"?
Het script dat de kwaadaardige code uitvoert (het redirecten in jouw voorbeeld) is de exploit. De fout in de software die het mogelijk maakt dat een dergelijke code kan ingevoerd worden in youtube is een bug.
Google moet de bug oplossen zodat kwaadaardige gebruikers geen exploits meer op hun systeem kunnen plaatsen.

Het verschil: De bug in dit geval is een fout in de code die een security risico veroorzaakt (met de nadruk op risico). Een exploit is code die effectief misbruik maakt van dit security risico.
Details, details!

An exploit (from the same word in the French language, meaning "achievement", or "accomplishment") is a piece of software, a chunk of data, or sequence of commands that take advantage of a bug, glitch or vulnerability in order to cause unintended or unanticipated behavior to occur on computer software, hardware, or something electronic (usually computerised). This frequently includes such things as gaining control of a computer system or allowing privilege escalation or a denial of service attack.
Youtube is niet ontwikkeld door Google maar later overgenomen, als er dan niet actief gezocht wordt op bugs zal je ze ook niet snel vinden.
Ze hebben daarna wel Youtube helemaal herschreven naar Java (was PHP) dus ik neem dat bugs daarna pas erin waren gekomen :)
Volgens mij is het nu geschreven in Python.
Je mag er wel vanuit gaan dat YouTube intern opnieuw ontwikkeld is (of in ieder geval wel sterk aangepast), aangezien het al die jaren een ontzettende groei heeft meegemaakt en ook aangepast moest worden aan Google zijn wensen.
Ze hebben onlangs de website compleet vernieuwd. Bovendien is youtube geen kleine website, dus ik ga er van uit dat daar een redeiljk groot team achter staat om de website door te ontwikkelen en herontwikkelen. Dat er zulke bugs in geslopen zijn, is gewoon jammer.

Maar wat Thunderhawk zegt, software komt altijd vol met fouten te zitten. Maar de stukken waar text in kan worden geplaatst dat beschikbaar is voor het openbaar lijkt me toch wel een plek waar grondig op HTML/script hacks moet worden getest.
Software is de natuurlijke habitat van bugs. In Windows zitten ook bugs, ondanks het een bedrijf is dat voornamelijk een OS ontwikkeld.

Edit: in he geval van Youtube spreken we ook niet meer over een simpele hello world applicatie maar echt eentje dat een enorme omvang heeft aan code. Dat er dan eens iets fout loopt is vervelend maar logisch.

[Reactie gewijzigd door IStealYourGun op 5 juli 2010 12:52]

Heeft YouTube zo'n enorme omvang aan code? Volgens mij valt dat wel mee. Ja, YT heeft veel gebruikers. Ja, YT heeft veel data en servers om te hosten. Maar veel code? Het is een website van gemiddelde omvang. Je mag aannemen dat reactiefunctionaliteit logisch gescheiden is van andere code. Je mag aannemen dat er pentests worden uitgevoerd.

Ik vind het knap dat ze een lek hebben gevonden en ben blij dat de gevolgen zo duidelijk zichtbaar zijn dat er snel actie kon worden ondernomen. Beter dan een langdurig onzichtbaar lek met veel grotere schade.
De hedendaagse software zit vol met bugs. De meeste komen niet naar boven, maar sommige wel :) Waar mensen werken, worden fouten gemaakt. Programma's zijn steeds groter en moeten meer features hebben, dus de kansen op bugs wordt alleen maar groter daardoor!
Het is wel appart om te zien dat zulke foute ontstaan bij bedrijven die zich bezig houden met het bouwen van webaplicaties.

Ik vind het helemaal apart om te zien dat google het lek heeft moeten dichten
Waarom is dat vreemd ?
Google is eigenaar van Youtube ;)
Wie anders? Google is de eigenaar van YouTube.
Waarom zou dat vreemd zijn? Youtube is toch gewoon een onderdeel van google..
valt wel mee toch? Apple maakt de patches voor windows.
Helaas kan ik de bron niet aanhalen en is de validiteit daarvan natuurijk ook af te vragen, maar een gebruiker van 4chan heeft aangegeven deze exploit reeds enkele maanden geleden gevonden te hebben, toen deze nog werkzaam was voor Google als een "low tech employee".

Hij wilde deze exploit achter de hand houden voor het geval dat hij ontslagen werd, wat blijkbaar het geval was na het vragen om salarisverhoging.

Nogmaals, ik kan niet bevestigen dat dit klopt, maar het is wel zeker dt de exploit zich aanvankelijk voornamelijk via 4chan heeft verspreid.
Dat het een persoon is die kennis heeft van hoe Youtube werkt lijkt me logisch - hoeveel andere mensen zouden 'per toeval' IF_HTML_FUNCTION? in een comment plaatsen en verwachten dat dat iets doet als niet bekend is hoe Youtube intern werkt met zijn comments systeem.
Zoals Fusioxan hierboven ook opmerkt; De fout lag niet in "IF_HTML_FUNCTION?", maar het twee keer openen van <script> tags.

Daarom is dit wel degelijk een enorme slordigheid, n keer een functie als strip_tags of htmlspecialchars over de inhoud van de comment halen had dit onmogelijk gemaakt. Het is daarmee ook een zeer veel voorkomende exploit (Echter is dit wel de eerste keer dat ik zie dat het met 2x <script> ineens wel werkt).

edit: @hieronder: Daarom zei ik dus "een functie als" ;)

[Reactie gewijzigd door geez op 5 juli 2010 15:53]

Klein detail; youtube is geen php. :+
Nu alleen nog zorgen dat die functies ook in Java beschikbaar zijn, aangezien Youtube naar mijn weten is geschreven in Java, in plaats van je PHP ;)
Youtube is geschreven in python :+
Het lag niet aan de IF_HTML_FUNCTION, maar de 2 script tags achter mekaar. Daardoor kon er geexploit worden. ;)
Het is al lang bekend dat Ebaumsworld als eerste dit lek had gevonden hoor. 4chan sprong er veel later op in.
Hoezo? Ebaumsworld handelde toch alleen? Wat heeft 4chan hiermee te maken?
Het was idd Ebaumsworld die exploit ontdekte en ook echt misbruikte door naar malware sites endergelijke te verwijzen. 4chan sprong er pas later op in en dat het vooral om te pranken (Justin Bieber filmpjes naar goede muziek doorverwijzen en dergelijke dingen).
4chan schuift alles in de schoenen van ebaumsworld omdat ze zelf GEEN publiciteit willen omdat zo het voortbestaan van de site mogelijk in het gedrang komt. En dat is net wat ik deed :+ de schuild volledig op ebaums schuiven...
Daar moet wel de opmerking bij gemaakt worden dat bij '/b/-raids' vaak aangeraden wordt om /b/ niet te noemen en ebaumsworld de schuld te geven.
Als je op ebaumsworld zelf kijkt zie je ook veel topics erover (aardig wat zijn ook weer zo weg).
Vraag ik me af wie wel slachtoffer is geworden van wat foute redirects, natuurlijk je eigen 'fout' als je geen scanner hebt of klakkeloos alles installeert, maar an sich fout dat er gewoon zulke code in comments kan worden geplaatst.
Wat denk je van websites die exploits in oude versies van adobe reader, flash, enzovoort gebruiken om trojans op je computer te installeren? Dit gebeurt heus niet zonder medeweten van de gebruiker zelf hoor.
Toch wel, of beter, de gebruiker zou het moeten weten, maar heeft geen flauw benul van wat zich voltrekt als hij voor de 503e keer die dag op "ok" klikt. Dit neemt dan nog aan dat er actief om bevestiging gevraagd wordt, en het geen gigantisch lek is dat bij een overgenomen site op de achtergrond je computer de vernieling in helpt. Ja, de user had beter moeten weten, de boel moeten updaten, en een veiliger OS gebruiken. Kunnen we hem dat kwalijk nemen? Ja, als je wilt. Helpt het iets? Nope.
De bug maakte het natuurlijk wel mogelijk om toegangsgegevens buit te maken. Misschien dan wel niet ongemerkt op de achtergrond, maar je kon gewoon een "session expired, login again"-pagina tevoorschijn toveren om mee naar logingegevens te vissen.
Ik moest net opnieuw inloggen op YouTube maar m'n wachtwoord klopte niet meer :? Ik kan me echter niet herinneren dat ik moest inloggen de afgelopen paar dagen...

Resetten van password werkte gelukkig nog wel :)
De titel zou ipv exploit bug moeten zijn. Er is en google bug waarvoor een exploit openbaar is die nu gepatched is.(in hoeverre een xss exploit genoemd mag worden..)
hoezo?

jijbuis is van google :+
ik dacht even dat het ging over een gedicht over een exploit, vond het al wat vreemd.
maargoed, arme justin bieber :P
idd, zielig gewoon dat mensen dit willen. Dat het kan, ok, maar dat mensen dan expliciet een redirect naar een pr0nsite doen, is nog wel het ergste. De mensen die dat doen zijn dan gewoon niet goed in hun kop, of ze hebben een hekel aan google, dus ook aan youtube.
De mensen die dit doen zijn te vergelijken met kwaadwillende hackers, die willen ook gewoon privacydata verkrijgen, enz. Dat is diefstal, dit ook, want je steelt het veilig-gevoel op internet. (en dan met name op sites van google, dus youtube, enz.)
Maar zo is het overal, goede mensen en slechte mensen. Gelukkig is die laatste soort er veel minder dan de eerste, wat je gelukkig niet bezorgt dat je in iedereen een schurk ziet, zelfs in je kleine broertje. (voorbeeld)
Ach, ergens veilig voelen is voor iedereen anders, ik voel me prima op me gemak op een pornosite, zie er niks schadelijks aan. Een blog van jou vind ik misschien wel veel gevaarlijker en enger aanvoelen.
Dan maak jij nu ook inbraak op mijn tijd? Tenminste, zo interpreteer ik het dan. :+
Allles dat te beveiligen is kan ook gekraakt worden... Leuke woordspeling... Ok bij Youtube helaas!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True