安全公司Websense最近指出,有些恶意录像能利用MySpace的漏洞,在嵌入式QuickTime播放器中运行JavaScript,从而对用户实施钓鱼欺诈,诱使用户访问恶意网站。
“可以通过查看是否存在空的QuickTime文件和MySpace上方被修改过的链接来鉴别是否种了病毒。”Websense相关人员说。MySpace拒绝对此发表评论。
这个攻击弱点被认为是一个跨站联结漏洞,也是互联网上比较常见的攻击方式,而对于QuickTime的相关特色来说,它不能算一个漏洞,用户们可以合法利用它,不过在这里,这种特色显然被滥用了。
被攻击后用户可以看到MySpace上方的导航条被改变了,而链接地址也指向MySpace站点之外的地方,用户访问这些恶意站点的时候需要输入MySpace账号密码。F-Secure的安全人员认为这是一起大规模盗窃MySpace密码的事件。
