На сайтах Moody’s и ЛАНИТ обнаружены XSS-уязвимости

В среду, 24 декабря, ИБ-эксперт E1337  сообщил  об уязвимости на официальном сайте международного рейтингового агентства Moody’s, позволяющую осуществить XSS-атаку. Исправление для бреши пока еще не выпущено, в связи с чем пользователи, посетители и администраторы moodys.com рискуют стать жертвами хакеров.

Кроме того, днем ранее, 23 декабря, исследователь безопасности bankir  сообщил  об XSS-уязвимости на сайте commerce.lanit.ru, принадлежащем группе ИТ-компаний из стран СНГ и России ЛАНИТ. По состоянию на 24 декабря брешь оставалась неисправленной.

Информация об этих уязвимостях была опубликована на xssposed.org. Как сообщается на сайте, в настоящее время XSS-атаки становятся все более сложными и осуществляются с применением техник социальной инженерии и фишинга. Злоумышленники могут эксплуатировать бреши для похищения файлов cookie, персональной информации, учетных данных, истории просмотров и т.д.

Проверить наличие исправлений для уязвимостей можно на xssposed.org.

Напомним , что 23 декабря 2014 года были обнаружены две бреши в открытой Flash-библиотеке FlexPaper, использующейся на портале WikiLeaks.