W skrypcie obs�uguj�cym reklamy sieci Gadu-Gadu zosta� znaleziony b��d, kt�ry mo�e by� wykorzystany do przeprowadzenia ataku na u�ytkownik�w tego komunikatora.
Jak si� okazuje, pobierane przez HTTP reklamy Flash mog� zawiera� elementy steruj�ce ich zachowaniem. W tym momencie system emisyjny reklam mo�e wy�wietli� reklam� przekierowuj�c� u�ytkownika do dowolnej witryny. Dzieje si� tak z powodu braku filtrowania parametru clikTag. Je�eli atakuj�cy otrzyma poprawny identyfikator reklamy, mo�e spr�bowa� nak�oni� u�ytkownika do klikni�cia w link, kt�ry wy�le mu poczt�. Pro�ciej m�wi�c, u�ytkownik otrzyma mailem link rozpoczynaj�cy si� od zaufanego dla u�ytkownik�w adresu internetowego
http://adserver.gadu-gadu.pl/new/Images/11985?clickTag=, gdzie po znaku r�wno�ci znajdzie si� adres strony, do kt�rej u�ytkownik zostanie przekierowany. Oczywi�cie adres ten mo�e zosta� dodatkowo zakodowany dla u�pienia uwagi ofiary.
Strona taka mo�e przypomina� wygl�dem serwis webowy Gadu-Gadu. W momencie przeniesienia ofiary na t� stron�, napastnik mo�e spr�bowa� wyci�gn�� od danej osoby jego login i has�o. Scenariuszy takiego ataku jest wiele i zale�� tylko od fantazji napastnika.
Gadu-Gadu zosta�o ju� powiadomione o problemie.
�r�d�o:
heise-online
