Geschichte von McAfee Security Hole Triggern

Es ist nicht viel ironischer als das: Ein ReadWriteWeb-Stück hat mehrere Cross-Site-Scripting-Fehler (XSS) auf der McAfee-Website beschrieben. Die Geschichte enthält einen Beispielcode, der einfach als Text in ReadWriteWeb angezeigt wird.

Die New York Times nahm die Geschichte auf, aber anstatt den Beispielcode anzuzeigen, führte sie ihn als Teil der Seite aus und verursachte jedem, der die Geschichte eröffnete auf die ReadWriteWeb-Site umgeleitet werden. Die Ursache? Eine XSS-Sicherheitslücke (Definition), eine Art Webfehler, die gezielt Daten stehlen und den Tag anderweitig ruinieren kann.

So sieht der falsch interpretierte Abschnitt in der NYT aus:

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows PC]

Der Beispielcode sollte nach dem Angebot angezeigt worden sein, wurde aber ausgeführt.

Eine Geschichte über ein Sicherheitsloch auf der Website eines Sicherheitsunternehmens macht die gleiche Art von Sicherheitslücke in der Website, die die Geschichte erzählt. Laut Lance James von Secure Science, der herausfand, was vor sich ging, nachdem er vom Autor der Geschichte kontaktiert worden war, konnte der NYT-Fehler jedermann, dessen Geschichten mit der Website syndiziert wurden (oder jeder, der eine Geschichte syndiziert), ausnutzen Sicherheitslücke.

Die Autorin der ReadWriteWeb-Geschichte, Lidija Davis, hat das ursprüngliche Stück geändert, um einen Screenshot anstelle von Text zu verwenden, aber die NYT-Seite zeigte immer noch die ursprüngliche Geschichte, als ich sie gerade überprüfte. Hier ist die aktualisierte Geschichte von RWW und die syndizierte Version der New York Times, die Sie zu RWW weiterleitet. Wenn Sie bei der Ziehung schnell sind, können Sie möglicherweise die Stopp-Taste in Ihrem Browser drücken, bevor NYT Sie umleitet.

Das Problem liegt in dem Beispielcode, der unter # 3 im "How To: HTML Injection" angezeigt wird. Abschnitt der Geschichte, nach James. Er sagt, er habe die NYT über das Standortproblem informiert.