Российские хакеры нашли уязвимость в eBuddy

Картинка: 

Участник группы хакеров из России, называющей себя Virtual Luminous Security, обнаружил XSS-уязвимость в крупнейшем IM-клиенте eBuddy.

Злоумышленник может передавать сообщения с вложенным зашифрованным вредоносным кодом JavaScript.

Уязвимость существует из-за ошибки в функции обмена сообщениями. Злоумышленник может выполнить произвольный код в браузере жертвы.

Пример эксплоита:

Закодированное сообщение: text=%3Cscript%3Ealert%28'eBuddy%20Persistent%20XSS'%29%3C/script%3E

Злоумышленник посылает закодированное сообщение:

Жертва получает закодированное сообщение и сценарий выполняется в браузере жертвы.

© securitylab.ru