Názory k článku
Škodlivý kód ukrytý v EXIF datech obrázku favicon

Jestli jsem to dobře pochopil, tak favicon byla ve zmiňivaném případě zpracovávána javascriptem. Tzn. "bug" je v té JS části, protože neočekává, že by při čtení a renderování metadat o favicon souboru mohla přijít na nějaká nepravost....

Spíše jsem to rychle projel, ale IMHO je to jinak:

V první řadě útočník napadl server a upravil kód, který tu běží. To je ten zásadní problém.

Druhá věc je, jak obfuskoval svoji aktivitu. Udělal JS, který stahuje favicon z jiného serveru, a z něj extrahuje data, která hodí do eval. Toto není chyba, ale záměr útočníka. Bude tak těžší najít ten skript. Místo metadat ve favicon se klidně dál stáhnout přímo skript (nápadnější), txt (stále nápadné), použít least significant bits v obrázku (o něco pracnější). Nebo by sloy použít třeba i zvuk. Nebo slova liché/sudé délky v nějakém textu. Nebo... Možností je spousta...

Pokud jsem to dobře pochopil, favicon tu slouží spíše pro ohfuskaci, samo o sobě to zneužít neumějí...

Proč? V průměru nejspíš lepší kafka než zákazník knihkupectví...

Ako keby ste nevedeli, čo kupujú zákazníci

Smith & Wesson
https://www.smith-wesson.com
Since 1852 we've been an industry leading manufacturer of pistols, revolvers, rifles, and shooting accessories

A teda ich pomsta bude životu nebezpečná

Tady asi někdo neví, že kvér neumí střelit po TCP/IP.

Uz vidim ze v pondeli prijde od security odstranit vsechny favicon nebo vsechna exif data z favicons. A ja budu zas uklidnovat podrizeny. Zatracena prace.