مشتریان DoubleClick مراقب حملات اسکریپ بین‌وب‌سایتی باشند‎

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

q409

 

گوگل به مشتریان DoubleClick درباره‌ آسیب‌پذیری‌های اسکریپت بین وب‌سایتی هشدار داد.

به گزارش كارشناسان دژپاد ، شرکت گوگل به مشتریان DoubleClick هشدار داد که برخی از پرونده‌های ارائه‌شده توسط فروشندگان شخص ثالث از طریق بستر تبلیغاتی آنها می‌تواند منجر به آسیب‌پذیری‌های اسکریپت بین وب‌سایتی شود.

این غول فناوری فهرستی از بیش از دوازده شرکت تبلیغاتی را که پرونده‌های آنها در برابر حملات اسکریپت بین وب‌سایتی آسیب‌پذیر هستند به اشتراک گذاشته‌است. این شرکت به صاحبان و مدیران وب‌سایت‌ها توصیه کرده‌است که وجود این پرونده‌ها در کارگزار خود را که به‌طور معمول در دامنه‌ اصلی میزبانی می‌شود، بررسی کرده و در صورت وجود این پرونده‌ها را حذف کنند.

گوگل گفت: «ما تا جای ممکن استفاده از خدمات این فروشندگان را برای تمام مشتریان تبادل تبلیغ DoubleClick و ناشران غیرممکن کرده‌ایم. با این حال، وجود داشتن هریک از پرونده‌های ذکرشده در وب‌سایت شما ممکن است خطرناک باشد و باید حذف شود. ما به محض اینکه اطلاعات بیشتری کسب کنیم، شما را مطلع خواهیم‌کرد.»

سرویس‌های DoubleClick گوگل برای ناشران (DFP) و تبلیغاتی تبادل تبلیغ DoubleClick به مشتریان اجازه می‌دهند تا تبلیغات خود را خارج از یک تگ آیفریم نمایش دهند، تگ آیفریم که مخفف قاب درونی (inline frame) است برای جاسازی محتوا در داخل یک صفحه‌ HTML مورد استفاده قرار می‌گیرد. به منظور گسترش تبلیغات خارج از آیفریم، گوگل و شرکت‌های تبلیغاتی شخص ثالث محصولی به نام کیت آیفریم (iframe buster kit) را ارائه داده‌اند که شامل چندین پرونده‌‌ جاوا اسکریپت و HTML است که باید در دامنه‌های مشتریان میزبانی شوند.

برخی از این پرونده‌ها شامل آسیب‌پذیری‌های اسکریپت بین وب‌سایتی (XSS) است که به مهاجمان اجازه می‌دهد که با کلیک قربانی روی یک پیوند جعلی، کد جاوا اسکریپت دلخواهی را تحت مرورگر یک کاربر اجرا کنند.

این آسیب‌پذیری توسط یک پژوهشگر که از نام‌های اینترنتی Zmx و Tr4L استفاده‌می‌کند، افشا شده‌است. او یکی از کارکنان شرکت IDM است، این شرکت در زمینه‌ ارائه‌ راه‌حل‌هایی برای مدیریت و تحویل محتوا و کسب درآمد از آن تخصص دارد. این شرکت از محصول کیت‌ آیفریم استفاده می‌کند و همین مسئله باعث شده‌است که آسیب‌پذیری‌های این محصول توسط این شرکت کشف شود.

این پژوهشگر یک کد بهره‌برداری اثبات مفهومی از این آسیب‌پذیری‌ها را منتشر کرده‌است.

این پژوهشگر گفت: او بدون اینکه به گوگل اعلام کند، یافته‌های خود را از طریق فهرست ایمیل افشای کامل (Full Disclosure) منتشر کرده‌است. مشخص نیست که آیا هشدار گوگل به مشتریان در پاسخ به ایمیل این پژوهشگر بوده و یا از طریق منابع دیگر از این آسیب‌پذیری‌ها اطلاع پیدا کرده‌است.

این پژوهشگر همچنین اشاره کرد که چندین کیت آیفریم مشکل‌ساز دیگر برای تبلیغات قابل گسترش وجود دارد که ممکن است توسط گوگل ارائه نشده‌باشند. کیت‌های آسیب‌پذیر شناسایی‌شده توسط این پژوهشگر در فهرست گوگل نیستند.

گوگل در بیانیه‌ای اعلام کرد: «ما با ارائه‌دهندگان این پرونده‌ها مقابله کرده‌ایم و این پرونده‌ها را حذف کرده‌ایم. همچنین دستورالعمل‌هایی را در مرکز راهنمایی خود اضافه کرده‌ایم تا ناشران بتوانند اقدامات بیشتری انجام دهند و مطمئن شوند که کاربران آنها ایمن هستند.»