Программисты и эксперты из сообщества Nemesis заявили, что сайты Symantec, Лаборатории Касперского, ESET (NOD32), AVG, F-secure и Trend Micro тем или иным образом уязвимы к XSS. В качестве доказательства они разместили на своем ресурсе серию скриншотов.

Если говорить в общих чертах, то описанные Nemesis уязвимости позволяют размещать на страницах сайтов подложные IFrame со сторонних серверов, причем выглядеть они будут так, как будто принадлежат тому ресурсу, на который зашел пользователь. Наличие дыр подобного рода может провоцировать атаки, использующие при своей реализации методы маскировки (например, фишинг). Также при помощи XSS можно красть cookie.

Тема подверженности интернет-порталов антивирусных фирм XSS-атакам стала особенно актуальной в последнее время, когда в течение двух месяцев знаменитая группировка румынских хакеров с сайта HackersBlog обнаруживала соответствующие уязвимости у Лаборатории Касперского, BitDefender, F-Secure и Symantec. Впрочем, вскоре им это наскучило, и в конце марта группа распалась.
Источник: http://www.xakep.ru