Es ist scheinbar ein YouTube Bug aufgetaucht, der das ausführen von Schadcode erlaubt. Mittlerweile existiert auch ein Support-Artikel bei Google.
http://www.google.com/support/forum/p/youtube/thread?tid=5269a4db8be21cab&hl=en
Aus Sicherheitsgründen wurde die Kommentarfunktion, über diese sich der Schadcode einschleusen ließ deaktiviert.
Soeben, habe ich einen hochbrisanten Youtube Bug gefunden. Es handelt sich dabei um ein Exploit, welches es ermöglicht, mittels Javascript, HTML Tags, in Kommentare einzubauen. Somit kann man beispielsweise, <marquee> Tag einbauen, welches den Text, animiert. Ausserdem kann man die Schriftgröße mittels <h1> festlegen. Als wäre das nicht schon krass, werden, alle anderen Kommentare darunter nicht mehr angezeigt, und die Kommentar funktion ist deaktiviert.
Es handelt sich dabei um ein Exploit, welches nach der Deaktivierung der Kommentar-Funktion nicht mehr funktioniert. Auch im Gulli-Forum wurde darüber schon diskutiert.
Mit den Code konnten folgenden Änderungen gemacht werden:
- Hintergrund ändern
- PopUPs
- Weiterleitungen
User BudFudlecker sagte im Forum:
Achtung, es gibt im Moment eine riesige Sicherheitslücke bei Youtube. Angreifern ist es möglich, so gut wie jeden Code durch posten des selbigen in der Kommentarfunktion auszuführen! Über Popups, bis zu Seitenumleitungen auf infizierte Webseiten ist alles möglich. Sobald man ein Video anklickt, in dessen Kommentarfunktion ein solcher Code gepasted wurde ist es schon zu spät!
“Proof of concept” gibt es bei 4kanal. Ich würde euch raten, Youtube für die nächste Stunden komplett zu meiden.
Beispiel Code:
<script><h1><marquee><font color=”red”><u>COMMENT GOES HERE<script>
Related posts:
{ 2 comments… read them below or add one }
Die oben genannte Quelle des Textes ist falsch. Es waere net wenn sie das aendern koennten.
Richtige Quelle: http://www.spieledb.com/youtube-kommentar-exploit-gefunden-1845.html
Hi,
danke für die richtige Quelle. Es wird sofort ergänzt.