В среду, 24 декабря, ИБ-эксперт E1337 сообщил об уязвимости на официальном сайте международного рейтингового агентства Moody’s, позволяющую осуществить XSS-атаку. Исправление для бреши пока еще не выпущено, в связи с чем пользователи, посетители и администраторы moodys.com рискуют стать жертвами хакеров.
Кроме того, днем ранее, 23 декабря, исследователь безопасности bankir сообщил об XSS-уязвимости на сайте commerce.lanit.ru, принадлежащем группе ИТ-компаний из стран СНГ и России ЛАНИТ. По состоянию на 24 декабря брешь оставалась неисправленной.
Информация об этих уязвимостях была опубликована на xssposed.org. Как сообщается на сайте, в настоящее время XSS-атаки становятся все более сложными и осуществляются с применением техник социальной инженерии и фишинга. Злоумышленники могут эксплуатировать бреши для похищения файлов cookie, персональной информации, учетных данных, истории просмотров и т.д. Проверить наличие исправлений для уязвимостей можно на xssposed.org. Напомним, что 23 декабря 2014 г. были обнаружены две бреши в открытой Flash-библиотеке FlexPaper, использующейся на портале WikiLeaks. (Новости/NovostIT)
