В приложении Verizon Messages была обнаружена брешь, приводящая к XSS

Олег Иванов 23 Мая 2017 - 09:06

...

В приложении Verizon Messages была обнаружена брешь, приводящая к XSS

Несколько месяцев назад Verizon Messages затронула уязвимость, которой было легко воспользоваться для запуска XSS-атак при помощи SMS-сообщений. Verizon Messages (Message+) представляет собой службу обмена текстовыми и мультимедийными сообщениями, которая позволяет пользователям беспрерывно отправлять и получать сообщения на нескольких типах устройств, включая мобильные и десктопные.

Исследователь Рэнди Вестергрен (Randy Westergren) проанализировал функцию SMS-сообщения в этом приложении, отправив несколько URL-адресов тестовой учетной записи. Эксперт обратил внимание на то, что добавление одиночных кавычек к URL-адресу позволяет вырваться за атрибут HREF и выполнить произвольный JavaScript-код.

По словам Вестергрена, злоумышленнику всего лишь надо отправить специально созданное SMS-сообщение пользователю, что позволит полностью контролировать сессию жертвы. В случае, если пользователь нажмет на вредоносное сообщение, хакер сможет отправлять SMS-сообщения от его имени или перехватывать сообщения.

В ноябре 2016 года исследователь отправил всю необходимую информацию, касающуюся уязвимости, Verizon, компания в течение нескольких недель устранила ее. Однако детали этой бреши были обнародованы лишь в воскресенье.

Verizon исправила эту уязвимость с помощью DOM API, как и было предложено экспертом.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.