Lefcorp Network

Les experts d�noncent les "cons�quences d�vastatrices" de la mise en ligne d�une base de donn�es regroupant l�ensemble des vuln�rabilit�s XSS.

A en croire les experts en s�curit�, les internautes pourraient faire face � une vaste attaque de vers en raison de la faiblesse des technologies de navigateurs actuelles. GNU Citizen, une organisation dite 'creative hacker', a publi� certaines informations concernant des failles XSS (cross-site scripting) qui pourraient �tre exploit�es pour injecter des programmes malveillants dans les ordinateurs via un navigateur Web.

Le ver pourrait analyser les adresses IP pour identifier les pages vuln�rables et se r�pandre rapidement � travers Internet.

Ces failles ont �t� regroup�es dans une archive en ligne, XSSED.com, que les auteurs de malware peuvent utiliser pour identifier des sites vuln�rables.

Un programme de diffusion permanente de malware pourrait propager les virus � travers le Web en installant un lien continu vers le site vuln�rable.

"XSSED.com contient l�archive la plus compl�te de vuln�rabilit�s XSS enti�rement fonctionnelles disponibles � ce jour", explique l�un des auteurs du site connu sous le pseudo 'pdp'. "Ils ont m�me une liste des vuln�rabilit�s XSS d�tect�es dans les sites Web figurant dans le classement 500. Nous parlons donc ici de sites de haut rang."
L�unique contrainte r�siderait dans la capacit� de la base de donn�es � g�rer le trafic.

"Un ver de cette envergure pourrait avoir des cons�quences d�vastatrices � tr�s court terme", explique Pete Simpson, responsable de l��quipe Threatlab Active chez Clearswift. "La technologie existe et tout est essentiellement question de motivation. Une multitude de cibles faciles parmi les r�seaux sociaux Web 2.0 doit certainement int�resser la sph�re du crime organis�."

Source : Vnunet