Éléments étranges apparaissant dans les éditeurs javascript rich text
-
05-07-2019 - |
Question
De nombreux éléments de formulaire HTML étranges se sont manifestés dans les éditeurs de texte enrichi basés sur javascript sur l'ensemble du Web. La première preuve que j’en trouve est dans les forums joomla a il y a un peu moins d'un mois. Depuis lors, des utilisateurs de Drupal et utilisateurs de wordpress , et il existe désormais des preuves de cette sur le Web - et enfin, nous venons d'en avoir un rapport sur un site dont je suis responsable. Il semble se limiter à Firefox.
Avez-vous des idées sur la façon dont cela vient et comment l’arrêter? Il existe de vagues mentions sur la désinstallation de Firefox et l'exécution d'analyseurs de logiciels malveillants, mais rien de spécifique.
La solution
Par chance, avez-vous installé un module complémentaire Firefox appelé «Surligneur sur navigateur» [1]? Il a peut-être été installé avec un module complémentaire Skype ou indépendamment (il est censé avoir une connexion à eBay).
J'ai vu deux personnes [2], [3] publier que désinstaller l'add-on "Browser Highlighter" fait l'affaire. Ce n'est probablement pas un widget malveillant, mais juste un dysfonctionnement. Désinstallez-le ou désactivez-le et laissez-nous savoir?
Si tel est le cas, vous pouvez demander à vos utilisateurs de supprimer ou de désactiver le module complémentaire de leur côté (dans leur navigateur).
Vous devrez également le supprimer des données publiées sur votre site. Si vous utilisez un CMS tiers (Wordpress, Joomla, etc.) et que vous n'êtes pas un programmeur, vous devrez demander à quelqu'un de surveiller le texte incriminé et de le supprimer.
[1] http://www.browserhighlighter.com/
[2] Cas n ° 1
[3] Cas n ° 2
Autres conseils
Cette ligne de code est définitivement effacée:
<input type="hidden" id="gwProxy" /><!--Session data--><input type="hidden" id="jsProxy" /><div id="refHTML"> </div>
code gwProxy / jsProxy intégré dans les messages
Un code étrange gwProxy est inséré dans le texte WYSIWY . / a>
Cela semble indiquer qu'un proxy a été intégré dans le code des utilisateurs à l'aide d'un éditeur FCKeditor / JCE en raison d'un thème ou d'un module complémentaire malveillant.
Sur support.mozilla.com:
Vous pouvez démarrer Firefox en mode sans échec pour vérifier si l’un de vos add-ons est la cause de votre problème (passez au thème DEFAULT: Outils> Modules complémentaires> Thèmes). Voir Dépannage des extensions et des thèmes Si cela fonctionne en mode sans échec, désactivez toutes vos extensions et essayez de trouver son origine en en activant une à la fois jusqu'à ce que le problème réapparaisse. Vous pouvez utiliser & désactiver; Désactiver tous les add-ons " dans la fenêtre de démarrage du mode sans échec. Vous devez fermer et redémarrer Firefox après chaque modification (Fichier> Quitter).
Désolé pour mon anglais! N'hésitez pas à commenter cet article.
Qu'entendez-vous par "arrêtez-le"? Si vous savez qu'il y a un problème spécifique à une version de Firefox et que vous souhaitez l'éviter, vous devez le rechercher si quelqu'un soumet le champ avant de l'enregistrer, vous le supprimez des données après leur enregistrement, mais avant. chargez-le, ou vérifiez cette version de Firefox et empêchez les utilisateurs de la soumettre sur votre site (ce que je ne recommanderais pas).
Je pense à peine que vous puissiez dire à vos utilisateurs de désinstaller Firefox, mais vous disposez de ces autres options pour traiter la manière dont le problème affecte votre site.
Je pense que vous êtes peut-être à la recherche d'un redingote avec les causes de l'éditeur de texte enrichi et du complément Firefox. Ce code est en cours d’injection dans l’une de mes pages alors que ne possède pas d’éditeur de texte enrichi et , il est injecté dans la page sous IE, Chrome et Firefox. J'ai vu un article qui indiquait un complément Skype.
D'après les liens que vous avez fournis, cela ne me semble pas trop vague. C'est une sorte de malware qui insère automatiquement le javascript dans les éléments que vous publiez, probablement pour attaquer les visiteurs de votre site. Le fait de le mettre en place pour l'insérer dans les éditeurs communs du CMS va probablement amener un grand nombre de personnes à le poster sans le savoir.
Différentes instructions ont été données pour le supprimer. Ce message semble fonctionner probablement: Problème est dans les navigateurs - supprimez et réinstallez