21/06/2007 @ 11:23:54: Google - Plus de 40 vulnérabilités sur le site de YouTube?
Après plusieurs mois d'ignorance, Google vient enfin de répondre à Christian Matthies, utilisateur YouTube qui clâme avoir trouvé pas moins de 40 failles sur le site de YouTube.
La plus grande majorité des failles permettent essentiellement de faire du XSS (cross site scripting) ce qui permet à un pirate d'injecter du code non autoriser et de faire croire qu'il vient d'un site connu alors qu'il est hostile. La plupart de ces failles permettent donc de voler les logins des autres utilisateurs, chouette!
Mais pire par contre, une fausse vidéo a déjà été envoyée infectée avec le trojan Zlob et qui permet du coup de bombarder les utilisateurs de publicités ou pire d'infecter les machines des surfeurs... Le problème n'étant pas d'avoir des failles, mais d'avoir laissé Christian Matthies dans l'ignorance pendant plusieurs mois.
YouTube 'riddled with 40-plus security vulnerabilities': http://www.theregister.co.uk/2007/06/20/youtube_security_ultimatum/
Faudra m'expliquer comment on peut "infecter une vidéo" svp ?
On a très bien réussi à infecter un jpg alors pourquoi pas un flv?
Par injection de code via buffer overflow en mettant des bytes foireux dans le film ?
Mais alors l'infection est propre au logiciel qui lit le fichier multimedia ?
Si on utilise un bon logiciel aucun risque ?
ovh> C'est exactement ça
