Stfw.RuРазработчики Facebook устранили ряд XSS-уязвимостей, обнаруженных экспертами Break Security. Как отметил глава ИБ-компании Нир Голдшлейгер (Nir Goldshlager) социальная сеть была уязвима к атакам на свое приложение «Chat», а также на компоненты «Check in» и «Messenger».
Так, в окне чата злоумышленники могли разместить ссылки, обходящие проверку со стороны Facebook, что позволяло замаскировать в ссылках команды javascript, выполняемые при переходе по этим ссылкам на системе жертвы.
Брешь в «Check in» также позволяла внедрять javascript код через настройки компонента. Для этого необходимо было создать специально сформированную локацию, отмечаясь в которой пользователь выполнял, замаскированный злоумышленниками код. Уязвимость в «Messenger» имеет схожий характер.
