0
Ce weekend, la plateforme communautaire YouTube a été victime d'une attaque par cross scripting (XSS). Cette méthode consiste à injecter du code malveillant directement au sein d'une page web. Les hackers ont ainsi réussi à contourner les restrictions de sécurité du formulaire de commentaires sur plusieurs vidéos du jeune chanteur américain Justin Bieber.
Plus précisément, les hackers - certains faisant partie de la communauté 4Chan - ont exploité une faille qui consiste à placer une balise < script > en début de code pour que les balises suivantes soient correctement interprétées. Le blog TheNextWeb rapporte les propos d'un porte-parole de Google qui explique : « Nous avons entrepris des actions rapides pour corriger cette vulnérabilité XSS sur Youtube.com (...) Pendant une heure, les commentaires ont été masqués par défaut puis nous avons publié un correctif deux heures plus tard ».
Voici ci-dessous une vidéo de démonstration mise en place par le blog InSecurity Romania:
Plus précisément, les hackers - certains faisant partie de la communauté 4Chan - ont exploité une faille qui consiste à placer une balise < script > en début de code pour que les balises suivantes soient correctement interprétées. Le blog TheNextWeb rapporte les propos d'un porte-parole de Google qui explique : « Nous avons entrepris des actions rapides pour corriger cette vulnérabilité XSS sur Youtube.com (...) Pendant une heure, les commentaires ont été masqués par défaut puis nous avons publié un correctif deux heures plus tard ».
Voici ci-dessous une vidéo de démonstration mise en place par le blog InSecurity Romania:
