На сайте рекламной компании PublicityClerks исправлена XSS-уязвимость

Online-рекламное агентство PublicityClerks исправило XSS-уязвимость, позволявшую злоумышленникам похитить данные пользователей с помощью вредоносных объявлений. Об этом сообщает издание Network World.

Уязвимость обнаружил исследователь безопасности под псевдонимом CEHSecurity. По словам эксперта, ошибка существовала в форме, используемой для загрузки рекламных объявлений на платформу PublicityClerks. Недостаточная проверка кода позволяла злоумышленнику создать вредоносное объявление, похищающее персональные данные пользователей.

Исследователю удалось успешно создать и загрузить объявление, похищавшее cookie-файлы пользователя при отображении на странице. Таким образом специалисту удалось частично раскрыть историю браузинга жертвы.

Специалист связался с разработчиками и сообщил об обнаруженной уязвимости. Через некоторое время ошибка была исправлена. По заверениям PublicityClerks, вследствие инцидента не пострадали ни заказчики, ни сайты-партнеры, размещающие рекламный контент.

Напомним, недавно на принадлежащем Microsoft портале MSN были обнаружены вредоносные рекламные объявления. Через вредоносную рекламу злоумышленники распространяли наборы эксплоитов RIG и Neutrino.