Cтатья о вирусе на сайте антивируса оказалась вирусом

Статья в онлайн-версии New York Times, рассказывающая о "дырах" на сайте антивирусной компании McAfee, наделила веб-страницу издания одной из этих самых уязвимостей, сообщает PC World.

Изначально статья, написанная Лидией Дэйвис (Lidija Davis), была опубликована на ReadWriteWeb. В ней шла речь об XSS-уязвимостях, обнаруженных на сайте компании McAfee. Автор привела подробные инструкции о том, как воспользоваться этими уязвимостями, и заодно проехалась по McAfee, узрев определённую иронию судьбы в том, что сапожник оказался без сапог.

У судьбы, однако, нашёлся ещё один повод для иронии. В статье Дэйвис был приведён в качестве примера кусок текста, с помощью которого уязвимость сайта McAfee эксплуатировалась путём перенаправления пользователя на сайт ReadWriteWeb. На следующий день эта статья была перепубликована в New York Times в неизменном виде, и выяснилось, что использовавшаяся для примера строка представляет собой действующий код межсайтового скриптинга.

При попытке пользователя открыть страничку со статьей, синдицированной в New York Times, браузер сперва отображал часть текста вплоть до этой строки, после чего производил перенаправление на ReadWriteWeb.

На всякий случай мы не приводим здесь эту строку даже в виде картинки, поскольку холостая граната в чужих руках однажды уже оказалась боевой.

У этой истории всё-таки оказался счастливый конец. Все действующие лица предупреждены о возникших проблемах. Даже на сайте McAfee предприняли какие-то действия по устранению XSS-уязвимостей, так что эта компания и впредь может с честью выступать в роли эксперта по кибербезопасности. В самом деле, со всяким может случиться — даже с "Лабораторией Касперского".

Однако принцип, по которому статьи публикуются в New York Times, судя по всему, остался прежним. Это означает, что у авторов всё ещё остается возможность создавать тексты с сюрпризами.


ИСТОЧНИК
07.05.2009 19:22