Обнаружена XSS-уязвимость в PayPal, которая позволяет хакерам загружать вредоносные файлы для атак на пользователей платежного сервиса. Исследователи Bitdefender обнаружили, что уязвимость эксплуатируется как для загрузки файлов, так и для организации широкого спектра атак. Брешь существует метолов обработки и расшифровки URL, по которым передаются загружаемые файлы.
Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayPal, исследователи смогли выполнить вредоносный код в браузере, пишет SecurityLab. Если киберпреступники получат доступ к этой уязвимости, это будет серьезным ударом по системе безопасности PayPal, которая гордится своей ИБ, − отметил представитель Bitdefender. Компания уже известила PayPal об уязвимости, к счастью, XSS-уязвимость работает только в Firefox.
«PayPal относится к безопасности данных наших клиентов, средств и любой информации крайне серьезно. Сотрудники компании быстро решить проблему, связанную с Cross-Site Scripting (XSS), патч был установлен 10 июля 2015 года, − говорится в заявлении компании. − У нас нет свидетельств того, что какие-либо счета PayPal были затронуты в этом случае».
PayPal регулярно сталкивается с уязвимостями, сообщения об этом постоянно появляются в новостях. Одна из брешей позволяла хакерам полностью обойти систему аутентификации, другая давала возможность удвоить средства на счету. На исправление некоторых уязвимостей у программистов компании ушло до полутора лет.
Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayPal, исследователи смогли выполнить вредоносный код в браузере, пишет SecurityLab. Если киберпреступники получат доступ к этой уязвимости, это будет серьезным ударом по системе безопасности PayPal, которая гордится своей ИБ, − отметил представитель Bitdefender. Компания уже известила PayPal об уязвимости, к счастью, XSS-уязвимость работает только в Firefox.
«PayPal относится к безопасности данных наших клиентов, средств и любой информации крайне серьезно. Сотрудники компании быстро решить проблему, связанную с Cross-Site Scripting (XSS), патч был установлен 10 июля 2015 года, − говорится в заявлении компании. − У нас нет свидетельств того, что какие-либо счета PayPal были затронуты в этом случае».
PayPal регулярно сталкивается с уязвимостями, сообщения об этом постоянно появляются в новостях. Одна из брешей позволяла хакерам полностью обойти систему аутентификации, другая давала возможность удвоить средства на счету. На исправление некоторых уязвимостей у программистов компании ушло до полутора лет.
