maandag 5 juli 2010 | 55x bekeken | 0x gedeeld | Leestijd: 1 minuut

YouTube-lek laat kwaadaardige scripts toe

YouTube heeft een lek in het systeem voor comments bij videos. Kwaadaardige scripts zijn zomaar uit te voeren. Google probeert het lek af te dekken. De internetreus heeft in eerste instantie de malafide comments geblokkeerd, maar die zijn daarna aangepast. Vervolgens heeft Google de weergave van comments standaard uitgeschakeld. Een deel van de malafide reacties is inmiddels al gewist. Het misbruik lijkt zich te concentreren rond video’s van popidool Justin Bieber.

‘Gat gedicht’
Ondertussen zocht de YouTube-eigenaar nog naar een echte oplossing. Het beveiligingsgat in het reactiesysteem op de bekende videosite was namelijk nog niet gedicht. Later heeft Google aan techblog The Next Web laten weten dat het dit cross-site scripting (xss) lek heeft gedicht.

Kwaadwillenden kunnen het gat misbruiken middels een tag in een comment, waarbij het eerste script-deel weliswaar wordt genegeerd maar het daarna volgende juist niet. Dit maakt diverse soorten misbruik mogelijk. In eerste instantie zijn de reacties vervuild met kreten, grappen en spam.

Geavanceerder, kwaadaardiger
In tweede instantie zijn de diverse script-makers begonnen aan meer geavanceerd misbruik. Dat omvat het wegdrukken van de andere comments, het op zwart zetten van de hele webpagina met uitzondering van eigen langsscrollende tekst, of het vervangen van de bewuste YouTube-video.

Meer kwaadaardige vormen van misbruik zijn er ook, en die zijn ook al met succes uitgeprobeerd. Het oproepen van meerdere popup-vensters is een mogelijkheid, net als het automatisch doorsturen van de YouTube-bezoeker naar een andere webpagina. Het via een script uitvoeren van malware op de pc van de bezoeker behoort ook tot de mogelijkheden, meldt de IDG Nieuwsdienst. Een deel van het misbruik is te zien in deze video, op YouTube.

Al snel misbruikt
Het lek is zondag ontdekt en kort daarna al massaal misbruikt. Onder meer de leden van community-sites eBaum’s World en 4chan zijn op het comments-gat gedoken.

Laatstgenoemde image- en prank-community heeft in april vorig jaar al de Time 100-verkiezing voor meest invloedrijke persoon ter wereld succesvol gehackt. Een maand later heeft 4chan YouTube onder vuur genomen met zo’n 5000 pornovideo’s met comments die linkten naar webpagina’s met malware.

Laat een reactie achter

Reacties die geplaatst worden zonder in te loggen, worden eerst goedgekeurd door de redactie.