Специалисты рекламного агентства PublicityClerks устранили XSS-уязвимость, благодаря которой злоумышленники могли похищать пользовательские данные, используя вредоносные объявления.
Уязвимость была обнаружена исследователем информационной безопасности, который известен под псевдонимом CEHSecurity. Как утверждает эксперт, уязвимость была найдена им в форме, предназначенной для загрузки рекламных объявлений на сайт PublicityClerks. Вследствие некорректной проверки кода злоумышленник мог сгенерировать вредоносное объявление и затем использовать его для кражи персональных данных пользователей.
Исследователь создал и загрузил объявление, которое похищало файлы cookie пользователя. В результате эксперт смог частично скомпрометировать историю браузера.
Специалист проинформировал сотрудников агентства о найденной уязвимости. Некоторое время спустя уязвимость была устранена. В PublicityClerks заявляют, что уязвимость не нанесла ущерба ни заказчикам, ни сайтам-партнерам, размещающим рекламный контент.