На веб-сайте eBay обнаружена серьезная уязвимость, которая позволяет злоумышленникам использовать ресурс для фишинга и заражения устройств пользователей.
Уязвимость была обнаружена компанией Check Point Software, которая занимается IT-безопасностью. Злоумышленники могут использовать технологию под названием JSFUCK, с помощью которой можно обойти систему, запрещающую встраивать JavaScript-код в страницы аукционов.
Такой код может работать при открытии страницы как на компьютере, так и на мобильном устройстве. В видеоролике, расположенном ниже, продемонстрировано, как при открытии ссылки на eBay пользователь получает окно с предложением установить вредоносное приложение.
Check Point Software уведомила eBay о «дыре» ещё в декабре, однако та тогда заявила, что не собирается как-либо устранять уязвимость. Тем не менее, позже eBay сообщили, что совместно с Check Point Software на сайте были установлены различные фильтры безопасности. Также представители аукциона заявили, что пока случаев использования ошибки злоумышленниками зарегистрировано не было.
(function (w, d) { var host = "widget.admitad.com"; var js, id = host.replace(/[^a-z0-9]/g,''), ref = d.getElementsByTagName('script')[0]; if (d.getElementById(id)) {return;} window._adwid_config = {host: host}; js = d.createElement('script'); js.id = id; js.async = true; js.charset = 'utf-8'; js.src = '//' + host + '/js/widget.js?r' + ((new Date()).getTime()/3600000|0); ref.parentNode.insertBefore(js, ref); }(window, document)); window._adwid = window._adwid || []; window._adwid.push("c35bc9ea")
