Les pages iTunes victimes d'une injection SQL

Christophe Laporte |
28 000 pages web de la section Aperçu d'iTunes faisant la promotion des podcasts ont été victime d'une injection SQL. Suite à cette « attaque », les pages en question comportaient dans leur code le script suivant :



Il semble que la faille provienne de la manière dont iTunes récupère les flux RSS/XML chez les éditeurs. Ce mécanisme est utilisé pour mettre à jour la liste des épisodes disponibles au téléchargement.

Le script en question renvoyait l'utilisateur sur un autre site contenant des « logiciels malveillants ». Apparemment, la campagne « LizaMoon » comme certains la prénomment, ne visait pas uniquement les serveurs d'Apple.



Les services de musique en ligne sont ces derniers temps dans le collimateur des hackers. En fin de semaine dernière, un malware s'était caché dans certaines publicités Spotify qui proposaient l'installation d'un antivirus imaginaire.

avatar tradkwah | 

Si on lit la source de l'article, il est rajouté que les balises du script sont correctement échappées par iTunes, ce qui empêche l'exécution du script chez l'utilisateur. Donc la redirection ne s'opérait pas chez les utilisateurs, ou alors j'ai mal lu l'article :D

avatar omega2 | 

Vu ce que vous racontez, il s'agit de Cross Site Scripting et pas d'injection SQL.

avatar tradkwah | 

@omega2 le XSS est permis par l'injection. Mais c'est vrai que le résultat le plus important est le XSS.

avatar misterbrown | 

injection directe

avatar nayals | 

L'image avec marqué "Attention : ce site pourrait endommager votre ordinateur", est-elle générée par Google ou Safari ?

avatar clasp | 

@tradkwah

Tu as bien lu. Le script ne s'exécutait pas chez les utilisateurs et la redirection n'avait pas lieu. Donc je ne vois vraiment pas ce que le screen shot du message d'alerte fait dans cette article.

@nayals
l'image est affichée après que safari ait trouver le site sur lequel on veut se connecter dans la banque de données des sites dangereux de google.

avatar nayals | 

@ clasp :
Ah d'accord merci (:

avatar ybart | 

CONNEXION UTILISATEUR