12月1日,MySpace遭到蠕虫的攻击,有人在QuickTime Movie中嵌入XSS代码,更改页面,用假的登录菜单骗密码,然后盗取用户身份发送色情链接的即时消息。
这次攻击的最大特点是他的注入代码不是从网站直接输入,而是嵌入在视频文件中,然后通过上传视频来运行和传播。而QuickTime的这个HREF Track的功能本来只是给视频增加链接的功能,不想也可以被用来嵌入javascript,成为安全隐患。
关于QuickTime的漏洞可以参看这里:
http://www.gnucitizen.org/blog/backdooring-quicktime-movies/
总结一句就是,花哨的功能总是安全的隐患。