12月6日消息,专家警告,热门的社交网站MySpace出现一段恶意影片,一经播放便可更改使用者的档案,自动植入并增加一个恶意链接。
据CNET报道,根据网络安全公司Websense上周五(1日)发出的警报,这段QuickTime影片是利用某个MySpace弱点,和针对苹果计算机预设媒体播放器的JavaScript支持。播放后,该影片将自动加入使用者的MySpace网页,并用钓鱼网站取代资料中的链接。截至4日,MySpace的代表尚未就此响应。
新闻集团(News Corp.)旗下的MySpace是美国相当受欢迎的社交网站,注册会员达7,000万。该蠕虫利用一种普遍的跨站指令网络弱点,外加HREF功能。专家表示,HREF原为追踪监控QuickTime的合法使用,但也可能被滥用。
F-Secure首席研究员Mikko Hypponen博客文章写道:“看来我们抓到了一只MySpace蠕虫,利用一个恶意的QuickTime MOV档散布。”他指出,这段恶意影片包含某种JavaScript程序代码,以微软IE浏览器观赏后便自动执行,变更使用者的MySpace档案。他写道:“之后,你的MySpace网页的每个访客都会被感染。”
但一位受害的MySpace使用者对CNET News.com表示,用Firefox浏览器观赏受害网页也会被感染。攻击者的目的显然是要大家造访钓鱼网站,这些恶意网页刻意伪装成MySpace的登入页面,诱骗使用者输入账号密码。
这并非MySpace初次发生安全问题,黑客曾利用该站的弱点窃取个人数据和散布广告软件。此外,某些MySpace使用者也曾利用该站的弱点炒作自己的名气。专家早已警告,随着网站互动性的增强,安全防卫必须优先考虑,而非事后补救。许多网站的开发考虑完全针对功能,忽略了防护。
FaceTime Security Labs指出,被感染的MySpace网页会包含多个恶意网站链接,和正常MySpace页面不会出现的蓝色浏览列。FaceTime恶意软件研究主任 Chris Boyd说:“假如不幸受害,你必须清除自己的档案,并查询你的朋友是否也被感染。”