Ένα εργαλείο που είναι ιδιαίτερα δημοφιλές στους in-house developers της Microsoft, ο συντάκτης RadEditor HTML, περιέχει μια επικίνδυνη cross-site scripting ευπάθεια (XSS), που εντοπίστηκε από τον ερευνητή GS McNamara.
Ο συγκεκριμένος editor έχει αναπτυχθεί από την Telerik και χρησιμοποιείται με εμπιστευτικό, εσωτερικό κώδικα από πολλές μεγάλες επιχειρήσεις, καθώς και σε προϊόντα της Redmond, συμπεριλαμβανομένων των MSDN, CodePlex, TechNet, MCMS και ως εναλλακτική λύση για το SharePoint.
Ο McNamara του CGI Federal ανέφερε ότι η ευπάθεια (CVE-2014-4958) ήταν αρκετά επικίνδυνη και θα μπορούσε να οδηγήσει σε τυπικές επιπτώσεις XSS, συμπεριλαμβανομένης της πιθανής κλοπής προσωπικών πληροφοριών, συνεδριών (sessions), καθώς και drive-by downloads.
Το XSS δεν ήταν άμεσα εμφανές και δεν ήταν εντοπίσιμο από γνωστό εμπορικό σαρωτή ευπαθειών (vulnerability scanner).
Ο McNamara φέρεται πως επικοινώνησε με την εταιρεία σχετικά με την ευπάθεια, η οποία αρχικά αρνήθηκε την ύπαρξή της και προέτρεψε τον ερευνητή να αναβαθμίσει σε ένα work around fix, το οποίο αντιμετώπιζε μόνο ένα τμήμα της ευπάθειας.
Ο ερευνητής απάντησε με exploit code και ένα email προς το τμήμα εσωτερικής ασφάλειας. Ένα patch για την αντιμετώπιση της ευπάθειας κυκλοφόρησε ένα μήνα αργότερα, και η εταιρεία ευχαρίστησε δημόσια τον McNamara για την έρευνά του.
Αναλυτικές πληροφορίες σχετικά με την ευπάθεια μπορούν να βρεθούν στο blog της Τelerik: blogs.telerik.com
