A Microsoft és az Apple frissítéseivel együtt tegnap az Adobe is javította a múlt hónap végén nyilvánosságra hozott, PDF fájlokon keresztüli kódfuttatásra lehetőséget adó sebezhetőségeket. A probléma a termék összes támogatott főverzióját, a Windowsos, a Maces és *nix-os változatokat is érinti, mindenki foltozzon!

67 biztonsági rést tömött be az Apple tegnap megjelent javításcsokra, melyet a gyáró három nagyobb csomagban tett közzé.

Az első készlet a Mac OS X operációs rendszer több biztonsági hiányosságát orvosolja, melyek közül a legsúlyosabbak távoli kódfuttatást tesznek lehetővé több alapvető rendszerkomponensen keresztül, de pl. az Apache, a BIND, a CUPS és a Kerberos kiszolgálók is súlyos, néhány esetben kritikus hibáktól érintette.

A második és harmadik csomag a Safari aktuálisan támogatott, illetve publikusan elérhető béta verzióit érintik. Ebben javításra kerül egy, a libxml könyvtárban leledző heap overflow, egy feed: URL-ek megnyitásával aktiválható JavaScript futtatási lehetőség, és nem utolsó sorban a Nils által Pwn2Own-on alkalmazott WebKit sebezhetőség is (CVE-2009-0945).

Legalábbis a felhasználók nagyobbik részéne számára. A Microsoft a mai frissítőkedden kiadta a javítást a hónap eleje óta aktívan kihasznált, kódfuttatásra alkalmas PowerPoint sebezhetőségre. A Mac-es változatok, valamint a Works 8.5-ös és 9.0-ás változatainak javításai viszont még fejlesztés alatt vannak. A javítócsomag egyébként nem kevesebb, mint 14 különböző, kritikus besorolású sebezhetőséget javít az Office és a Works különböző változataiban, más termékek foltozására viszont úgy tűnik nem volt szükség, de legalábbis nem került rá sor...

Több blogon láttam már kilinkelve a DailyWTF történetét, melyben a naív ügyfél próbál intézkedni a Nagy ISP-nél. Az angolul nem tudók és a lusták kedvéért a kedves mese kivonata alant olvasható:

Bár Douglas Mezzer egykori lakótársa, John már rég elköltözött, a DSL számla még mindig az azóta elvonult pecópajtás nevére érkezett meg. Douglas gondolta, hogy helyre teszi a dolgokat, így hát felment a szolgáltató honlapjára, ahol bejelentkezés után az adatmódosítás menüpontban igyekezett volna rendezni a helyzetet. A megjelenő űrlapon azonban mindent meg lehetett változtatni, csak a számlázási nevet nem. Nosza rajta telefon, az ügyfélszolgálat útvesztőjében tett kéjutazás után végre jelentkezett a társaság egyik operátora, aki természetesen szívesen elindította a névváltoztatási folyamatot, 59$ kezelési költség ellenében. Nem volt mit tenni, Douglas belement a dologba, hiszen az előző beszélgetés után 32 másodpercel nem lett volna túl hihető az a történet, hogy a lakótárs hirtelen vissza akar költözni.

Következő hónapban jött is a csekk az 59$-ról, de még mindig John nevére. Hasonló volt a helyzet az ezt követő hónapban is. Douglas tehát úgy gondolta, hogy ha szép szóval nem ment a dolog, hát majd ésszel próbálkozik: újra megnyitotta az ominózus űrlapot, fogta kedvenc Firefox kierjesztését, és szépen kitörölte a számlázási névhez tartozó beviteli mezők "disabled" (letiltva) attributumát. Kétségekkel telve írta át a nevet - ez mégis csak egy internetszolgáltató, ennyire nem lehetnek hülyék - majd a Mentés gombra kattintott. És lássunk csodát: a mentett űrlapon már az ő neve szerepelt. Mikor pedig következő hónapban megkapta a saját nevére szóló számlát, Douglas úgy döntött, hogy kiszámlázza azt az 59$-t a szolgáltatónak, amiért neki kellett elvégeznie az ő munkájukat.

A netszolgáltató képviselője a DailyWTF-en megjelent szöveg tanúsága szerint megköszönte, hogy felhívták figyelmüket erre a problémára.

Ma zuhanyzás közben eszembe jutott, hogy érdekes módon még senki nem deface-elte a blogot. Aztán beesett egy halom jelszóemlékeztető a postaládámba, és már tudtam, hogy esemény van :) Úgy tűnik a kódfejtők próbálnak rossz fát tenni a tűzre, de mentés van, úgyhogy nyugodtan hátradőlve drukkolhatunk nekik!

secretworld hívta fel a figyelmemet erre, a magát szerényen csak 0x1337-nak nevező Twitter felhasználóra, aki állítása szerint több száz darab, magyar webhoszting szolgáltatónál - a dy.hu-n és a p8.hu-n -  elhelyezett oldalra pakolt távoli hozzáférést nyújtó PHP shelleket. Nekem ezeket még nem sikerült megtalálnom, lehet hogy eltávolították őket, vagy talán fent sem voltak, minden esetre kellő körültekintéssel látogassátok az említett domaineket, hátha került rájuk valami turpisság!

Az érintett szolgáltatókat értesítem, ha kapok választ, frissítek.

Lásd a kommenteket...

Egy nem rég elkészült jelentés számos, az Amerikai Légügyi Hatóság ( Federal Aviation Administration - FAA) kritikus informatikai rendszereit érintő incidensről számol be.

Februárban 48.000 jelenlegi és volt alkalmazott személyes adatait nyúlták le az FAA nyilvánosan elérhető rendszeréből, tavaly pedig a támadóknak sikerült hozzáférniük néhány kritikus feladatot ellátó belső szerverhez Alaszkában, megszerezték az egyik oklahomai rendszeradminisztrátor jelszavát, és kémprogramot telepítettek a nyugati régió domainvezérlőjére, melyen keresztül további 40.000 személy belépési adataihoz jutottak hozzá a támadók.

A jelentés szerint a behatolók elsősorban a különböző támogatórendszerekhez fértek hozzá, de innen könnyű útjuk lett volna a valósidejő vezérlést, megfigyelést és kommunikációt végő hálózati területekig. Ilyen eset egyébként utoljára 2006-ban történt, mikor szintén Alaszkában vírusfertőzés miatt le kellett állítani a repülésforgalom-szabályozó rendszerek egy részét.

És a repülés még így is a legbiztonságosabb közlekedési forma...

A Team Typhoon-nak sikerült egy TIFF fájlokon keresztül kihasználható kernel exploitot futtatni a PSP 3000 legújabb, 5.03-as firmware-én. Ezzel elméletileg lehetővé vált sajátkészítésű szoftverek futtatása a kézi konzolon.

A fenti videó mutatja az exploitot működés közben. Látható, hogy a firmware HEN (Homebrew ENabled) módba váltott. Sok munka van még hátra addig, amíg ezt a módszert a nagyközönség által is hatékonyan használható szintre fejlesztik.

Virgina vezetése úgy döntött, nem engednek az egészségügyi rendszerükből több mint 8 millió állampolgár érzékny személyes adatait elrabló rosszindulatú hacker(ek) zsarolásának. Tim Kaine, az állam kormányzója úgy nyilatkozott, hogy "ez egy bűncselekmény, és így is fogják kezelni az esetet".

Az FBI nyomoz az ügyben, azonban a támadók által írt zsaroló üzenet szerint amennyiben a 10 millió dolláros "váltságdíj" nem kerül kifizetésre, az ellopott adatokat a feketepiacon fogják értékesíteni.

Közben a Heartlend Payment Systems közzétette, hogy a minden idők egyik legnagyobb adatlopási botrányaként számontartott, negyedmillió vállalkozást érintő behatolással összefüggésben 12.6 millió dollárnyi veszteséget könyvelhettek el, melynek nagy részét a Visa és a MasterCard követelései teszik ki.

Szeretnék röviden köszönetet mondani azoknak, akik tegnap este jelenlétükkel emelték az est fényét, azt hiszem minden szempontból tartalmas estét sikerült összehoznunk! Úgy érzem, hogy a sörözések mind mennyiségi, mind minőségi szempontból felívelő pályán járnak, remélem, hogy nem nőjük ki a helyet az ITBN után :)

Végül, de nem utolsó sorban itt ragadnám meg az alkalmat, hogy ismét gratuláljak CJ-nek szívének elkötelezése alkalmából! Hiába, az idő megállthatatlanul telik...

A Google kritkus minősítésű javítást adott ki a Chrome böngészőhöz, amely két problémát javít:

Ezek közül az egyik lehetővé teszi a sandboxból történő kitörést, és ezáltal a böngészőt futtató felhasználó nevében történő illetéktelen kódfuttatást. Mindehhez azonban az szükséges, hogy magában a renderelő folyamatban futtathassunk kódot, a másik probléma viszont pontosan ezt teszi lehetővé, így a kör bezárult.

A böngésző frissíti magát, a Chrome felhasználóknak nem kell semmilyen különleges lépést tenniük a védelem megszerzéséért.

Most zuhant be a postalábámba az idei Hacktivity "pályázati felhívása", lássuk tehát:

Az idei összeröffenés 2009. szeptember 19-20. között lesz megtartva. Az előadni vágyóknak 2009. június 10-ig kell eljuttatni legfeljebb 1000 szavas előadás-tematikájukat a cfp@hacktivity.hu e-mail címre. Az előadások hossza 45 perc, a javasolt témakörök az alábbiak: 

1. Hordozható eszközökkel kapcsolatos támadási lehetőségek

2. Hardverekből eredő sebezhetőségek

3. Távközlési hálózatok sérülékenységei

4. Hálózatbiztonság

5. Operációs rendszerek biztonsága

6. Böngésző alapú támadások

7. Visszaélések a népszerű alkalmazásokkal

8. Adatbázis-biztonság

9. Kiszolgálók, szerverek hibáiból adódó lehetőségek

10. Információszerzés üzleti alkalmazásokból

11. Kártékony és mobil kódok

12. A hackelés eszközei

13. Információs hadviselés

14. A hacker szubkultúra

15. A felhasználói hiszékenységet kihasználó technikák, social engineering

16. Digitális nyomrögzítés, forensics

17. Adatvédelem

18. Szerzői jogi kérdések

19. A hackelés története Magyarországon – Hardver, szoftver és hálózat a XX. században

Messziről jövőknek utazási költségtérítés és szállás jár, valamint CPE pontok szerezhetők. A jó hangulatról és a kellemes véralkoholszintről összeszokott csapat gondoskodik :)

További kérdésekkel forduljatok az info@hacktivity.hu forródróthoz bizalommal, vagy gyertek el a csütörtöki sörözésre!

Múlt csütörtökön feltörték a Virginia Prescription Monitoring System egyik szerverét, melyen több mint 8 millió állampolgár gyógyszerkiadási és más személyes adatait tárolták. Ez a nagyságrend manapság sajnos egyáltalán nem szokatlan, az viszont annál inkább, hogy a támadók letörölték az eredeti adatokat, a VPMS-nek pedig úgy tűnik, nincs mentése az adatbázisáról. Jajj!

A rosszfiúk azért "nagylelkűen" meghagyták az adatokat titkosított formában, a jelszóért viszont nem kevesebb, mint 10 millió dollárt kérnek. Összesen mintegy 35 millió rekordot tárolt a rendszer, így ez nagyjából 30 cent rekordonként. A teljes zsarolólevelet elolvashatjátok itt a Wikileaks jóvoltából.

A VPMS oldala jelenleg áll, azt mondják nyomoznak.

(Az H-Security cikke alapján)

A santa barbarai egyetem kutatóinak sikerült beférkőzniük a Torpig - más néven Sinowal vagy Mebroot - botnet irányítórendszerébe, és 10 napon keresztül figyelték a hálózaton átmenő forgalmat.

A Torpig domain-fluxing technikát használt a hatalmára törők megfékezésére. Ez azt jelenti, hogy a hálózatba csatlakozott zombik egy megadott algoritmussal domainneveket generálnak, és ezekhez mint irányítóközpontokhoz (Command&Control szerverekhez) próbálnak sorban csatlakozni, agészen addig, amíg valamelyik név mögött élő szervert nem találnak. A kutatók úgy akaszkodtak rá a hálózatra, hogy az irányítóközpontokhoz vezető útvonalat kijelölő domaingeneráló algoritmus tanulámnyozása után előre regisztrálták azokat a neveket, melyeken a zombik a C&C szervereket keresni fogják.

Bár a fertőzött gépek számát nehéz megbecsülni, a rendszer méreteire jellemző, hogy ez alatt a tíz nap alatt a kutatók által megfigyelt irányítóközponthoz nagyjából 180.000 számítógép csatlakozott, és összesen 70GB-nyi adatforgalmat mértek.

Az összegyűjtött adatokból egyebek mellett nagyjából 600.000 e-mail postífiókok (webes, POP vagy SMTP) jelszava, 12.307 FTP belépési információ, 8.310 online bankszámla hozzáférési adat, és 1.660 kártyaszám volt kinyerhető. Utóbbiakból 30 darab feltehetően egy call-centeres ügynök fertőzött számítógépéről került ki.

A kutatók becslése szerint a tíz nap alatt összegyűjtött információ 83.000-8.3 millió dollár értéket képviselhet a feketepiacon, bár a széles intervallum jól mutatja, hogy kívülállóként igen nehéz megbecsülni az ilyen adatok valódi értékét.

A ZDNet cikke alapján. A projekt hivatalos oldalát, a részletekről beszámoló jelentést itt találjátok meg.

Kiegészítés:

T Biehn és John Lamb az FD listán egy érdekes dologra hívta fel a figyelmet: A botnetet úgy frissítették, hogy az aktuális dátum helyett a Twitter statisztikáit is alapul vegye a domaingenerálás során. Ez egyrészt egy ügyes húzás, másrészt viszont a sertésinfluenza miatt a Twitter trendjeinek entrópiája mostanában nem túl nagy: ilyen, mikor az online kártevőnek keresztbetesz egy valódi vírus :)

> re

Csak egy gyors válogatás az olvasómból:

• Roszindulatú kódot terjeszt(ett) a Panda Security magyar kirendeltségének weboldala, a pandasoftware.hu. Az infó a konkurenciától származik, én magam nem ellenőriztem.
• A McAffee-nél még mindig bajban vannak a webes biztonsággal.
• Az MPAA oldalán találtak pár vicces XSS-t
• Van új Adobe Reader exploit, és egy helyi DoS-ra alkalmas kód is megjelent a(z) (open)Solaris-os dtrace-hez. Utóbbiról bővebben kedvenc exploit- és bugelemző oldalunkon olvashattok.

Biztons, hogy kihagytam valamit, de majd pótolok, ígérem!

Az utóbbi idők kellemetlen féregtámadásai után egy francia hackernek sikerült megkerülnie a Twitter adminisztrációs felületét védő htaccesst, és így alkalma nyílt megosztani a nagyérdeművel néhány érdekes képet a szolgáltatás backendjéről.

Fogyasszátok egészséggel!

Az utóbbi napokban már mindenki a sörözésről kérdezget, ami rendkívül felemelő érzéssel tölt el, másrészt rég megmondtam, hogy csak ma lesz infó. Noszóval:

Időpont: 2009. május 7. 17:00 óra (1241715600) - Az Antitrust nem olyan rossz film, amilyennek elsőre tűnik, de mozizni otthon is lehet, másrészt a késéseket jól tolerálja a rendszerünk (a csomagvesztést viszont kevésbe :)

Helyszín: Óbester Borozó - 1074. Bp. Huszár utca 5. ETHackről így lehet eljutni oda nagyjából (vidékiek: fel van túrva a Keleti környéke, labirintusra számítsatok, a sarkokban rosszarcú bugyidealerekkel és egyéb helyi látványosságokkal):

View Larger Map

Buhera névre van foglalva asztalunk

A hely elméletileg éjfélig van nyitva, de ha van fogyasztás, maradhatunk ameddig jól esik.

Csaposbácsit tessék megbecsülni, ő érezhetően szívből csinálja a munkáját! Csaposnéniről nincsenek tapasztalataim, de az alapértelmezett eljárás nála is ez!

A házi sör emlékeim szerint iható, de van üveges is. A pálinkát ajánlom mindenkinek, és igen, bort is adnak, úgy néztem jófajta termelőit.

Wifi: ???

Öltöny-nyakkendő nem kizáró ok, de úgyis le fogod inni valamivel :)

Végül pedig a rossz(?) hír: holnap hajnalban eltávozom az ország egyik térerőmentes részére, posztok tehát biztosan nem lesznek hétfő estig. 

A reCAPTCHA egy nyílt API-val rendelkező CAPTCHA szolgáltatás, amely jó hatékonyságú Turing-tesztek szolgáltatása mellett nyomtatott szövegek automatikus felismerését és digitalizálását is segíti. A reCAPTCHA tesztekben két szó torz képe jelenik meg: az egyik a  feladvány, melynek jelentését valóban ismeri a rendszer, míg a másik egy olyan szó képe, amely kifogott az OCR-eken (optikai karakterfelismerő rendszerek).

A neves Time magazin is ezt a megoldást használta az automatikus szavazóprogramok megfékezésére a "Világ legbefolyásosabb emberéről" szóló szavazásában. A 4chan-en tobzódó anonymousok azonban úgy döntöttek, saját maguk képére formálják az eredményeket:

Az első próbálkozás természetesen egy teljesen automatizált karakterfelismerő megoldás volt, amely nem túl meglepő módon elbukott.

A második ötlet már sokkal eredetibbnek tűnt: a "játékosok" minden egyes olyan szóra, amely feltehetően nem szerepelt a reCAPTCHA adatbázisában, a 'penis' kifejezést adták megoldásként. A gondolat emögött az, hogy a reCAPTCHA elvileg a szavazatok száma alapján megtanulja az addig nem ismert képek jelentését, de ha minden képre azt mondjuk, hogy 'penis', egy idő után ezt a szót bármely rejtvény esetében sikerrel alkalmazhatjuk. A trükk azonban nem jött be, a reCAPTCHA felhasználói bázisa ugyanis túlzottan nagy ahhoz, hogy potom 200.000 szavazattal meg lehetne mérgezni az adatbázist, ezen kívül az eszköz fejlesztői "számos védelmet" beiktattak az ilyen jellegű támadások kivédésére.

Végül a spammerek közt is legelterjedtebb módszer bizonyult célravezetőnek: a végtelenségig optimalizált emberi munka. Az alakulat egy maximálisan leegyszerűsített felületet állított össze a lelkes szavazóknak, valamint rájöttek, hogy elég egy szót beírni szavazatonként kettő helyett, ezzel pedig rengeteg időt meg lehet spórolni. Emellett a Time szavazatértékelési stratégiájának sajátosságait kihasználva képesek voltak a cél eléréséhez becsült 200.000-es szavazatmennyiséget több mint ötödével csökkenteni.

A szavazást így végül moot, a 4chan alapítója nyerte, az első 21 személy nevének kezdőbetűit összeolvasva pedig a 'Marblecake also the game' mondat vált kiolvashatóvá, amely a társaság egyik kedvelt IRC csatornájára utal. Gratulálok :)

A "játék" további részleteiről itt olvashattok.

eax@HUP

Mai történetünk főszereplője a CVE-2009-0065 névre keresztelt memory corruption bug, amelyet a legtöbb disztribúció a hiba jellegét figyelmen kívül hagyva "denial of service"-ként azonosított.

Mint utóbb kiderült, hibásan: a bug nem csak hogy lehetővé teszi a ring0 kódfuttatást, hanem ez távolról is végrehajtható, ha van a célgépen egy elérhető sctp socket.
Az exploit publikálója blogbejegyzésében nem mulasztja el megemlíteni, hogy a potenciálisan kihasználható memory corruption hibák DoS-ként kezelése nem ritka dolog a Linux kernel esetében.

Exploit itt.

Nem voltam különösebben elragadtatva a múlt héten agyonhypeolt hírtől, miszerint bizonyos Mikko Hyppönen azt találta mondani az idei RSA konfon, hogy ne használjunk Adobe Readert, mert nem biztonságos. Nem vagyok egy Adobe fanboi vagy ilyesmi, de érzésem szerint a cirkusz ismét amiatt zajlik éppen ekörül a gyártó körül, mert az ő termékét használják a legtöbben.

Minden esetre meg kell hagyni, az Adobe Reader nem fogja elnyerni a minden idők legbiztonságosabb szoftvere címet: újabb javítatlan, kódfuttatásra alkalmat adó sebezhetőséget találtak ugyanis az olvasó 9.1-es és 8.1.4-es változataiban. A problémát most a getAnnots() JavaScript függvény hibája okozza.

Nem tudom ti hogy vagytok vele, de én még böngészés közben sem szívesen futtatok JavaScriptet, PDF olvasás közben meg aztán végképp nem akarom, hogy mindenféle programok futkorásszanak a (virtuális) papírom...ban. Főleg nem olyanok, amiket az adott dokumentum készítője saját kénye-kedve szerint pakolt össze. És ezek az érvek sem győztek meg. NoScriptet a PDF olvasókba, de talán jobb lenne elfelejteni ezt az egész szkriptelgetős marhaságot! Főleg ha nem képesek biztonságosan implementálni.

Frissítés:

Nem egy, hanem rögtön két sebezhetőségről van szó, bár utóbbiról nem sok infót találtam egyelőre, leszámítva a SANS bejelentését, miszerint a bajt a Dictionary funkcióban található puffer túlcsordulást előidéző hiba okozza. További pontosítás, hogy a 7-es széria is érintett, valamint kiemelném, hogy a nyilvánosságra hozott exploit Linuxra lett írva. Az Adobe a JavaScript kikapcsolását javasolja (Szerkesztés(Edit) -> Tulajdonságok(Preferencies) -> JavaScript).

Exploit van itt és itt.

HWSW hír:

"Oktatási tevékenységet indított a Kürt, melyet Kürt Akadémia leánycége végez majd. A vállalat elérkezettnek látta az időt, hogy az évek alatt felhalmozott szakértelmét hasznosítsa, amiből üzleti és HR szempontból is hasznot akar húzni.

Kezdésként a Kürt Akadémia háromféle képzést kínál. A legnagyobb területet az etikus hacking oktatás jelenti majd, amit két formában végez a cég. A kétszer ötnapos tréningeken gyakorló IT-szakembereket igyekeznek praktikus tudással felvértezni, hogy eredményesebben és hatékonyabban tudják felvenni a küzdelmet az aktuális fenyegetésekkel. A másik képzés 2 szemeszteren át tart, és etikus, vagyis fehérkalapos hackereket képeznek ki, akik a bűnözők előtt ismerik fel egy IT-rendszer biztonsági réseit."

Minden bizonnyal a cég saját webszervere/oldala lesz az állatorvosi ló...

A mostanában hömpölygő hírcunami a Chrome, az Internet Explorer valamint a Firefox zászlóshajóiról vetett partra néhány darabkát (gyenge képzavar?):

A Mozilla nem sokkal a 3.0.9-es Firefox kiadás után újabb biztonsági frissítést jelentett be. A 3.0.9-es hibajavító verzióba ugyanis egy kritikus besorolású, kódfuttatásra potenciálisan alkalmas bug csúszott, amely bizonyos körülmények között, jellemzően a HTML Validator add-on használatakor, forrásmegtekintés illetve keresés hatására dönti össze a böngészőt és ír mindenféle csúnya dolgot a memóriába. Frissítsetek tehát a 3.0.10-es verzióra!

Egy másik érdekes problémára derült fény a Chrome és az Internet Explorer kombinált használatával kapcsolatban: Amennyiben Internet Explorerrel nyitunk meg egy - nyilvánalóan Chrome által regisztrált - chromehtml: protokollkezelőt hívó URI-t, a Chrome elindul, és tetszőleges, támadó által összeállított szkriptet lefuttat. Ez elsősorban XSS-re illetve a helyi fájlok listájának feltérképezésére lehet alkalmas. További részletek a felfedező, Roi Saltzman írásában.

Más: Igen, május 7-én lesz sörözés, méghozzá előreláthatlólag az Óbesterben, részletek csütörtök környékén várhatók.

Csúnya IFRAME-ek csúnya kínai domainekre mutogatnak, NoScripttel ill. friss antivírussal nézzétek, esetleg tanuljatok sokat angolul/németül/franciálul/japánul... :)

Flame itt, költői csapongások erre, tényszerű információ, na abból kevés van, de úgy hiszem edző bá járhat legközelebb az igazsághoz, tekintve, hogy jó ideje nem bírják levakarni a szutykot a szájtról:

btw. a cucc úgy terjed (sajnos ügyfelünknél is előfordult), hogy nem közvetlenül a weboldalt törik fel, hanem előzőleg egy kliens gép fertőződik meg egy spyware-rel, majd ha a fertőzött gépről ftp-n keresztül belépnek szerverekre, akkor az ott található php, html, stb állományokba véletlenszerűen beíródik ez az iframe.

a domain sok esetben más (pl. lotmachines.cn, stb), illetve nem csak a fájl végére appendálja, hanem például a body tag mögé közvetlenül.

Az OAuth egy nyilvános protokoll, amely biztonságos, információcserére alkalmas interfészt nyújt különböző szolgáltatások számára. Segítségével megoldható, hogy egy felhasználó az egyik szolgáltatónál (Service Provider) tárolt, privát adatait (Private Resources) egyszerűen átadhassa egy másik szolgáltatónak (Consumer) anélkül, hogy előbbinél használt belépési adatait utóbbi tudomására hozná.

Azonban mint kiderült, a protokollon keresztül egy felhasználó rávehető, hogy privát adatait egy támadó kezére játssza anélkül, hogy erről tudomást szerezne.

A támadónak ehhez egy érvényes autorizációs kérést kell küldenie a Consumernek, ami erre egy kérés tokent (Request Token) tartalmazó URI-val válaszol. Ez után a támadó, ahelyett, hogy a linket követve bejelentkezne a Service Providerhez, ráveszi a felhasználót, hogy helyette tegye meg ugyanezt. Az áldozat ekkor csak annyit tapasztal, hogy az egyébként megbízható Service Provider engedélyt kér, hogy hozzáférést adjon a szintén megbízható Consumernek a privát adatokhoz. Amennyiben a felhasználó megadja belépési adatait, a támadó  a Request Tokent felhasználva ezután bármikor hozzáférhet az áldozat adataihoz.

A sebezhetőséget az OAuth fejlesztőcsapata is elismerte, az egyébként béta állapotú  protokollt használó Yahoo!, Netflix és Twitter (másokkal egyetemben) pedig jelenleg szüneteltetik OAuth-os szolgáltatásaikat.

Ez (kivételesen) egy valódi protokoll sebezhetőség, nem az implementációkkal van a baj, de egy tesztfázisban működő jelöltnek ez még megbocsátható...

A Mozilla négy kritikus és három súlyos sebezhetőséget javított a Firefox legfrissebb, 3.0.9-es változatában. A kritikus problémák elméletben lehetővé teszik a távolról történő kódfuttatást, de kész exploitok egyelőre nem kerültek nyilvánosságra. Akinek van kedve játszani egy kicsit, az erre nézzen körül:

• Összeomlást okozó probléma a böngészőmotorban #1
• Összeomlást okozó probléma a böngészőmotorban #2
• Összeomlást okozó probléma  a JavaScript motorban #1
• Összeomlást okozó probléma  a JavaScript motorban #2

A másik három súlyos sebezhetőség a same-origin policy megsértésére ad lehetőséget. Az első a beágyazott Flash objektumok view-source attributumát használja fel ehhez. A második és harmadik hiba pedig az XMLHttpRequest JavaScript metóduson illetve az XPCNativeWrapper osztályon keresztül ad lehetőséget idegen oldalak kontextusában történő JavaScript futtatásra.