11 noiembrie. Yahoo publică o vulnerabilitate serioasă în Yahoo User Interface (YUI) versiunile 2.5 - 2.9, o bibliotecă de funcții folosite de diverse site-uri pentru automatizarea unor elemente ale interfeței web (rich text editor, file uploader, etc.).
Ieri seară, 6 ianuarie. vBulletin trimite un mail ownerilor de forumuri cum că au aflat că e o vulnerabilitate în vB 4 și 5, cele două versiuni active, specific cu un modul de file upload în Flash care poate fi exploatat printr-un query string în URL conținând orice cod JavaScript. Dar cum Yahoo a trecut la YUI 3, nu mai există suport pentru 2.x, deci problema nu va fi remediată de producător. Iar vBulletin se spală pe mâini de toată treaba, citez:
Singura soluție propusă la acest moment este ștergerea fișierului SWF vulnerabil și înlocuirea lui cu un fișier blank, ca să nu dea eroare că nu găsește fișierul, făcând doar fallback automat la uploader-ul cu JavaScript.
Păi să nu le umpli frigiderul?
Ieri seară, 6 ianuarie. vBulletin trimite un mail ownerilor de forumuri cum că au aflat că e o vulnerabilitate în vB 4 și 5, cele două versiuni active, specific cu un modul de file upload în Flash care poate fi exploatat printr-un query string în URL conținând orice cod JavaScript. Dar cum Yahoo a trecut la YUI 3, nu mai există suport pentru 2.x, deci problema nu va fi remediată de producător. Iar vBulletin se spală pe mâini de toată treaba, citez:
We will not be fixing the vulnerability in the SWF file directly nor do we plan to take any other action on this issue at this time.
Singura soluție propusă la acest moment este ștergerea fișierului SWF vulnerabil și înlocuirea lui cu un fișier blank, ca să nu dea eroare că nu găsește fișierul, făcând doar fallback automat la uploader-ul cu JavaScript.
Păi să nu le umpli frigiderul?