Tavaly november közepén többek közt mi is beszámoltunk egy ötletes, a Facebook chaten terjedt támadásról. A különlegességét az adta, hogy a támadók egy SVG formátumú képfájlba beágyazott JavaScript kóddal képesek voltak automatikusan új fület nyitni a felhasználók böngészőiben, a Youtube-ra erősen emlékeztető oldalon pedig kártevők manuális telepítésére próbálták rábírni a netezőket. Eközben a pórul járt facebookozók ismerősei szintén megkapták a rosszindulatúan módosított SVG-t.
Mint a Bleeping Computer egyik írója most kiemelte, ez a támadási forma kimondottan népszerűvé válhat majd a jövőben, részben mivel a Gmail február közepétől már nem lesz hajlandó JavaScript-fájlokat átengedni a rendszerén. A böngészők készítői persze megpróbálhatják letiltani a termékeikben az SVG-kbe ágyazott JavaScriptek automatikus (vagy akár teljes) futtatását, ez a netezők oroszlánrésze számára vélhetően soha semmilyen gyakorlati problémát sem okozna. Ettől függetlenül a lépéssel szabványtalanná válna a böngészőkbe ágyazott SVG-megjelenítő.
Jelenleg nem világos, hogy a böngészőgyártók mit és mikor kívánnak lépni a felhasználók védelme érdekében. A gond elmúlásáig javarészt csak annyit tehetünk, hogy a fenti trükk ismeretében nem hagyjuk magunkat átverni.
(Nyitókép: Intel Free Press)
