Kaspersky, Panda e AVG, vĂ­timas de scripts entre sites do DOM (XSS)

O analista de segurança David Sopas de Portugal identificou vulnerabilidades com base no XSS (DOM-cross-scripting) nos sites de trĂȘs provedores de soluçÔes de segurança de renome mundial: Kaspersky Lab, Panda Security e AVG Technologies.

No site da Kaspersky, a vulnerabilidade estĂĄ sendo deturpada pelo jQuery. Quando o parĂąmetro URL Ă© carregado, um invasor pode executar seu prĂłprio cĂłdigo malicioso.

No site da AVG, o defeito estava na seção de download.

“Devido Ă  falta de escape / codificação da URL no arquivo js_stdfull.js, um usuĂĄrio mal-intencionado pode passar seu prĂłprio cĂłdigo no site”, disse Sopas em seu blog.

Quanto ao Panda Security, a vulnerabilidade do DOM XSS estava em um arquivo chamado aHref.js.

O especialista mencionou as vulnerabilidades nas empresas acima. Todas as empresas correram para resolver os problemas, mas apenas Panda e Kaspersky conversaram com a Sopas.

O AVG identificou tacitamente a vulnerabilidade sem responder ao pesquisador.

“O tipo de ataque a vulnerabilidades baseado em scripts entre sites DOM (XSS), a injeção de cĂłdigo malicioso Ă© executada pelo navegador do hacker. Em outras palavras, a resposta do HTTP nĂŁo muda, mas o cĂłdigo do lado do usuĂĄrio Ă© executado de forma “diferente”, disse o especialista Ă  Softpedia.

“O aumento desse tipo de ataque se deve ao fato de a maioria dos sites hoje usar JavaScript em seus aplicativos. “

“Dependendo do tipo de vulnerabilidade, um usuĂĄrio mal-intencionado pode usar as vulnerabilidades do DOM XSS para roubar certificaçÔes, phishing ou atĂ© espalhar malware. Assim como ataques XSS regulares, mas de uma maneira diferente. Os ataques XSS DOM sĂŁo executados no navegador e, portanto, Ă© muito difĂ­cil registrar esse tipo de ataque. “

Detalhes tĂ©cnicos e evidĂȘncias adicionais estĂŁo disponĂ­veis no site de David Sopas.