Компания Check Point Software обнаружила уязвимость на eBay, позволяющую хакерам добавлять произвольный JavaScript на страницы лотов.
По умолчанию произвольный JavaScript нельзя использовать на страницах eBay, но вследствие уязвимости, известной как JSFUCK, хакеры могут встраивать его в страницы, и он будет выполняться в браузерах при посещении лотов.
В примере показано, как пользователю, якобы от eBay, предлагается установить приложение предоставляющее 25% скидки при покупке лотов. На самом деле это вредоносная программа, установка которой возможна только благодаря не закрытой уязвимости.
Check Point Software сообщила eBay об обнаруженной уязвимости еще в декабре, однако владельцы торговой площадки решили не закрывать ее. По их словам, закрытие этой уязвимости запретило бы использование другого активного контента на страницах с лотами.
Поскольку активный контент применяется во вредоносных целях только в двух случаях на один миллион, было решено, что овчинка не стоит выделки.