在lmgur上可利用恶意代码注入攻击4Chan和8Chan

时间:2015-09-25 15:34 来源:bobao.360.cn 作者:佚名 点击:

据报道,黑客利用在线图片分享社区Imgur的一个严重漏洞,将恶意代码隐藏在图片链接中,从而控制访问者的浏览器,并接管了4chan和8chan图像板。

目前,lmgur已经修复了该漏洞以防止上传恶意图片,但是,攻击者们已经利用薄弱的网页进行目标攻击。lmgur称,攻击在这些网页上已经被限制,并且不会影响该网站的主要画廊页面。

Lmgur社区负责人解释到:“昨天,一个严重的漏洞被发现,该漏洞可以利用对lmhur网页的图片链接进行恶意代码注入。根据我们团队分析得到的来看,这似乎是专门针对使用4chan和8chan在Reddit.com上使用lmgur的图片管理和分享工具进行特定图片分享的用户的。”“该漏洞于昨天晚上被修复,并且我们不会再服务于受影响的图片,但是,作为一种防范措施,我们建议您清除您的浏览数据,cookies和本地缓存。”

在受害者的本地缓存中注入一段带有攻击性的javascript代码,用来ping到攻击者的命令以及在每次访问8chan时控制服务器。许多包含恶意代码的图片被传送到4chan以及一个相关的Reddit subreddit页面。根据可获得的命令信息,攻击者的意图并不明确,被控制的服务器不会被用来发送命令到收感染的机器上。

Reddit的使用者反映,javascript代码创建了一个关闭屏幕的iframe,并且植入了一个flash文件,该文件会lmgur的其他flash插件从而使得攻击看起来不那么可疑。一个Reddit使用者说到:“这个文件将更多的javascript代码注入到页面中,这看着就像是一个无害的皮卡丘动画图。”

“这个javascript代码被存储到使用者的本地存储中,由于iframe被指定到8chan,这允许攻击者将javascript代码传送到8chan的本地存储中。它的功能是发送一个get请求响应给8chan.pw,然后解密该响应。到目前为止还没有人能够看到来自该网络服务器的响应,这意味着它可能尚未激活或已被停用。其结果是,每当用户访问一个8chan页面时,它会反馈回去检查指令,然后执行JavaScript代码。”正如寄存器所报告的,各种各样的4chan版块都受到了攻击。

lmgur的安全团队已经实施了更多的控制来允许公布那些被认定为“有效”的图片文件以及阻止任何javascript代码。正如lmgur官方公布报道的,使用者被建议进行清除浏览数据、cookies以及本地缓存。

(责任编辑:腰编辑)