Tin tặc có thể chèn những chuỗi trong mã HTML vào phần lời bình (comment) của khách xem video clip trên YouTube để tấn công họ. Tuy nhiên lỗi này đã được Google nhanh chóng khắc phục.

Nhiều video clip trên YouTube đã được cảnh báo bị chèn mã HTML độc hại trong phần lời bình, mã HTML này sẽ được thực thi khi trình duyệt web của một người xem truy cập vào. Trong số clip YouTube chứa mã HTML ở comment có những clip của ca sĩ trẻ Justin Bieber đang được lứa tuổi teen mến mộ.

Trình duyệt web của người xem clip sẽ mở một cửa sổ (pop-up) khi truy cập vào clip "dính" mã HTML. Cửa sổ này chứa những thông điệp mời gọi mở ra các trang web khiêu dâm.

Kẻ tấn công có thể sử dụng kiểu khai thác cross-site scripting (XSS) để đánh cắp thông tin nhận dạng trong cookie (tập tin của trình duyệt web lưu hông tin truy cập và đăng nhập tại các trang web đã duyệt của người dùng). Khi nắm được dữ liệu này sẽ cho phép chúng đăng nhập giả danh vào YouTube. May mắn thay mặc dù YouTube sử dụng chung tài khoản với các dịch vụ Google nhưng kẻ tấn công không thể đăng nhập giả danh vào các dịch vụ khác ngoài YouTube.

Google đã xóa toàn bộ các lời bình có kèm mã HTML và khắc phục lỗi. Tuy nhiên, các chuyên gia bảo mật lo ngại những lỗi tương tự có thể xảy ra trên các website có đông lượng truy cập, tin tặc sẽ nhúng mã độc vào các phần nhập nội dung như lời bình (comment) để tấn công những khách truy cập xem nội dung trên. Chúng có thể điều hướng khách truy cập tới các website chứa mã độc để mở ra các cuộc tấn công nguy hiểm hơn nhằm chiếm dụng toàn bộ hệ thống.

Theo TTO.