Theo Randy Westergren, một nhà nghiên cứu bảo mật có trụ sở tại Delaware, các quảng cáo mở rộng trên trang web để hiển thị một biểu ngữ lớn hơn hoặc các thùng chứa video có thể bị lạm dụng như các cổng vào cho các cuộc tấn công khác nhau.
Nhà nghiên cứu cho biết ông đã xác định một số lỗ hổng trong bộ chặn khung nội tuyến - tên được đặt cho các tệp mà trang web lưu trữ trên máy chủ của họ để hỗ trợ các “quảng cáo mở rộng”.
Các công ty quảng cáo cung cấp các bộ chặn khung nội tuyến này cho chủ sở hữu trang web muốn hiển thị quảng cáo từ danh mục của mạng quảng cáo. Các tập lệnh này là duy nhất cho mỗi công ty quảng cáo, nhưng chúng hoạt động theo cách tương tự nhau, bằng cách chạy mã JavaScript bỏ qua tính năng bảo mật SOP (Chính sách đồng nhất) của trình duyệt để cho phép quảng cáo thoát khỏi vùng chứa cố định và thực hiện thay đổi đối với trang hiện tại và mở rộng khu vực hiển thị của nó.
Westergren nói rằng nhiều kịch bản khung chặn nội tuyến này dễ bị tấn công bởi các lỗ hổng yêu cầu cross-site (XSS) cho phép kẻ tấn công tận dụng lợi thế của tệp nôi tuyến được lưu trữ trên máy chủ của trang web để chạy mã JavaScript độc hại trên trang đó.
Thiệt hại gây ra bởi các cuộc tấn công này phụ thuộc vào khả năng của kẻ tấn công mã độc, nhưng thường được coi là kẻ tấn công có thể chạy mã JavaScript trên một trang web từ xa có thể lấy cắp thông tin của người dùng liên quan đến trang đó, thậm chí còn nhiều hơn.
Nhà nghiên cứu cho biết ông đã xác định các lỗ hổng XSS trong hầu hết các loại khung nội tuyến, và cho đến gần đây, Google đã cung cấp để tải xuống như một phần của bộ iFrame Buster (khung chặn nội tuyến) đa nhà cung cấp, được cung cấp thông qua trang web tài liệu DoubleClick AdExchange.
Westergren nêu chi tiết bốn ví dụ trên blog của mình, cho thấy cách kẻ tấn công có thể chạy mã độc trên bất kỳ trang web nào sử dụng bộ chặn khung nội tuyến từ các mạng quảng cáo như Adform, Eyeblaster (Add in Eye), Adtech và Jivox.
Nhà nghiên cứu cho biết ông đã thông báo cho Google về các vấn đề với bộ phận khung nội tuyến iframe trong bộ công cụ iFrame Buster của công ty và các kỹ sư của Google đã xóa các tập lệnh đó trong vòng hai tuần, vào tháng 1 năm nay.
Trong thời gian chờ đợi, Google đã ngừng cung cấp bộ công cụ để tải xuống hoàn toàn, nhưng một số trong số các tập lệnh khung nội tuyến iframe này vẫn dễ bị tấn công nếu được tải xuống từ các nguồn khác.
Người dùng muốn giữ an toàn được khuyên nên sử dụng trình chặn quảng cáo, vì hầu hết các trình chặn quảng cáo sẽ chặn quảng cáo cố gắng xâm nhập, phát triển và chiếm một khu vực rộng lớn của trang.