eBay nema rješenja za sigurnosnu ranjivost

Sredinom prosinca, istraživači sigurnosne tvrtke Check Point Software izvijestili su o ranjivosti na eBayu. Ova ranjivost je prikladno nazvana (JSFUCK), a prema najnovijem  izvješću od strane Check Point Software, eBay ne planira popraviti ovu „tešku“ ranjivost koja omogućuje napadačima da koriste eBay web stranice za distribuciju zlonamjernog koda i phishing stranica.

Ranjivost omogućava napadačima da zaobiđu ključno ograničenje koje sprječava korisničke postove sa hosting JavaScript kôda koji se izvršava na krajnjem korisnikovom uređaju. eBay je dugo vremena provodio ograničenja kako bi se spriječili prevaranti od stvaranja aukcijskih stranica koje isporučuju opasni kod ili sadržaj kada su pregledani od strane korisnika.

No, koristeći visoko specijaliziranu tehniku kodiranja pod nazivom JSFUCK, hakeri mogu zaobići zaštitu. Pomoću JSFUCK napadač je u mogućnosti stvoriti kod koji će učitati dodatni JS kod iz svog poslužitelja. Napadač na taj način ima mogućnost umetanja daljinske kontrole JavaScript i njegove prilagodbe.

16. siječnja, eBay je obavijestio Check Point da ne namjerava izdati rješenje za ovaj slučaj. U tom slučaju, korisnici će vjerojatno biti meta za krađu identiteta, najvjerojatnije kroz preuzete aplikacije.