Рекламные баннеры, раскрывающиеся при просмотре сайта, допускают выполнение стороннего кода и могут стать причиной компрометации пользовательских данных.

К такому выводу пришел ИБ-специалист Рэнди Уэстергрен (Randy Westergren), обнаруживший уязвимый код в нескольких фреймах, отвечающих за отображение объявлений. Исследователь сообщил о своей находке Google, после чего поисковик удалил ненадежные скрипты из своей рекламной сети.

Технология размещения баннеров предполагает использование контента — обычно это изображения и некоторый код, — загружаемого с сайта рекламодателя или агентства. Выполнение подобных скриптов регулируется правилом ограничения домена (SOP) и запрещает доступ извне к содержимому веб-ресурса. Как выяснил эксперт, в случае раскрывающегося фрейма границы безопасности можно нарушить, что позволяет злоумышленникам запустить сторонний макрос на скомпрометированной странице.

Исследователь пояснил, что, несмотря на различия в коде, методы расширения области баннера во всех рекламных скриптах схожи. Уэстергрен подробно разобрал четыре макроса для отображения динамических изображений и выявил XSS-уязвимости в каждом из них.

ИБ-специалист не рассматривал практический вопрос эксплуатации брешей, однако выполнение стороннего кода на страницах легитимного сайта можно использовать для кражи пользовательских данных и организации DoS-атак.

В январе этого года эксперт направил отчет о найденных уязвимостях в Google, которая распространяет ряд макросов других разработчиков в составе рекламного набора DoubleClick Ad Exchange. Представители поисковика подтвердили наличие ошибок и удалили проблемные скрипты из комплекта.

Стоит отметить, что Уэстергрен выявил бреши в легитимных рекламных инструментах, однако в Интернете существуют целые сети для продвижения товаров, контролируемые злоумышленниками.

Одну из них ИБ-специалисты обнаружили в начале августа этого года. Киберпреступники использовали уязвимости в движке WordPress, чтобы показывать несанкционированные рекламные объявления и вести трафик на вредоносные сайты. Их услугами пользовались владельцы фишинговых страниц и ресурсов, распространяющих трояны.

Категории: Уязвимости