آخرین اخبار
صفحه اصلی
اخبار

هشدار گول به مشتریان DoubleClick درباره‌ی آسیب پذیری‌های اسکریپت بین وب‌گاهی

تاریخ:
در: اخبار, اسلاید, امنیت سایبری
دیدگاهتان را بنویسید:
356 نمایش ها

کمیته رکن چهارم – شرکت گوگل به مشتریان DoubleClick هشدار داد که برخی از پرونده‌های ارائه‌شده توسط فروشندگان شخص ثالث از طریق بستر تبلیغاتی آن‌ها می‌تواند  منجربه آسیب‌پذیری‌های اسکریپت بین وب گاهی شود.

این غول فناوری فهرستی از بیش از دوازده شرکت تبلیغاتی را که پرونده‌های آن‌ها در برابر حملات اسکریپت بین وب‌گاهی آسیب‌پذیر هستند، به اشتراک گذاشته است. این شرکت به صاحبان و مدیران وب‌گاه‌ها توصیه کرده است که وجود این پرونده‌ها در کارگزار خود، که به طور معمول در دامنه‌ی اصلی میزبانی می‌شود، را بررسی کرده و در صورت وجود این پرونده‌ها را حذف کنند.

گوگل گفت: «ما تا جای ممکن استفاده از خدمات این فروشندگان را برای تمام مشتریان تبادل تبلیغ DoubleClick و ناشران غیرممکن کرده‌ایم. با این حال، وجود داشتن هر یک از پرونده‌های ذکرشده در وب‌گاه شما ممکن است خطرناک باشد و باید حذف شود. ما به محض این‌که اطلاعات بیشتری کسب کنیم، شما را مطلع خواهیم کرد.»

سرویس‌های DoubleClick گوگل برای ناشران (DFP) و تبلیغاتی تبادل تبلیغ DoubleClick به مشتریان اجازه می‌دهند تا تبلیغات خود را خارج از یک تگ آیفریم نمایش دهند، تگ آیفریم که مخفف قاب درونی (inline frame) است برای جاسازی محتوا در داخل یک صفحه‌ی HTML مورد استفاده قرار می‌گیرد. به منظور گسترش تبلیغات خارج از آیفریم، گوگل و شرکت‌های تبلیغاتی شخص ثالث محصولی به نام کیت آیفریم (iframe buster kit) را ارائه داده‌اند، که شامل چندین پرونده‌‌ی جاوا اسکریپت و HTML است که باید در دامنه‌های مشتریان میزبانی شوند.

برخی از این پرونده‌ها شامل آسیب‌پذیری‌های اسکریپت بین وب‌گاهی (XSS) است که به مهاجمان اجازه می‌دهد که با کلیک قربانی روی یک پیوند جعلی، کد جاوا اسکریپت دلخواهی را تحت مرورگر یک کاربر اجرا کنند.

این آسیب‌پذیری توسط یک پژوهش‌گر که از نام‌های اینترنتی Zmx و Tr۴L استفاده می‌کند، افشاء شده است. او یکی از کارکنان شرکت IDM است، این شرکت در زمینه‌ی ارائه‌ی راه‌حل‌هایی برای مدیریت و تحویل محتوا و کسب درآمد از آن تخصص دارد. این شرکت از محصول کیت‌ آیفریم استفاده می‌کند، و همین مسأله باعث شده است که آسیب‌پذیری‌های این محصول توسط این شرکت کشف شود.

این پژوهش‌گر یک کد بهره‌برداری اثبات مفهومی از این آسیب‌پذیری‌ها را منتشر کرده است.

این پژوهش‌گر گفت، او بدون این‌که به گوگل اعلام کند، یافته‌های خود را از طریق فهرست رایانامه‌ی افشای کامل (Full Disclosure) منتشر کرده است. مشخص نیست که آیا هشدار گوگل به مشتریان در پاسخ به رایانامه‌ی این پژوهش‌گر بوده و یا از طریق منابع دیگر از این آسیب‌پذیری‌ها اطلاع پیدا کرده است.

این پژوهش‌گر همچنین اشاره کرد که چندین کیت آیفریم مشکل‌ساز دیگر برای تبلیغات قابل گسترش وجود دارد که ممکن است توسط گوگل ارائه نشده باشند. کیت‌های آسیب‌پذیر شناسایی‌شده توسط این پژوهش‌گر در فهرست گوگل نیستند.

گوگل در بیانیه‌ای اعلام کرد: «ما با ارائه‌دهندگان این پرونده‌ها مقابله کرده‌ایم، و این پرونده‌ها را حذف کرده‌ایم. همچنین دستورالعمل‌هایی را در مرکز راهنمایی خود اضافه کرده‌ایم تا ناشران بتوانند اقدامات بیشتری انجام دهند و مطمئن شوند که کاربران آن‌ها ایمن هستند.»

منبع : news.asis.io

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Blue Captcha Characters Below.