Door een heel simpele programmeerfout zit er een cross-site scriptinglek in Google Buzz. Het geeft hackers de mogelijkheid om accounts over te nemen.

De fout is een “middelgroot probleem” met de Buzz for Mobile website, zei Robert Hansen, CEO van SecTheory, die het gat als eerste rapporteerde.

Cross-site scripting

Het is een cross-site scriptingfout (xss), waardoor de aanvaller zijn eigen code in webpagina’s kan plaatsen die toebehoren aan vertrouwelijke websites zoals Google.com. De fout komt vrij vaak voor, maar kan wel grote gevolgen hebben als hij wordt misbruikt op veelgebruikte sites.

De aanvaller “kan je dwingen om dingen te zeggen die je niet wilt zeggen, tegen mensen die je volgen”, zei Hansen. “Wat jij met Google Buzz kunt doen, dat kan die aanvaller jou aandoen.”

Phishing

Omdat aanvallers de fout kunnen gebruiken om hun eigen content op Google.com te zetten, kunnen ze phishing-aanvallen opzetten tegen gebruikers van Google, zei Hansen verder. “Als dit ongepatcht blijft, dan kan dat nare gevolgen hebben voor elke gebruiker van de site”, ging hij verder. “Het kan makkelijk worden gebruikt om mensen te laten denken dat ze aan het typen zijn in een echte Google sign-on pagina, terwijl ze daar niet echt zijn.”

Oplossing

De bug is ontdekt door de hacker TrainReq, die de details van de fout naar Hansen heeft gemaild, zonder enige verklaring. Ondertussen heeft een woordvoerder van Google bevestigd dat het bedrijf aan een oplossing werkt. Hij voorspelde dat die binnen een paar uur klaar zou zijn.

“We zijn ons ervan bewust dat een kwetsbaarheid gevolgen kan hebben voor veel gebruikers van Google Buzz for mobile, en we zijn de fix nu aan het maken”, zei Jay Nancarrow in een e-mail. “We hebben geen aanwijzingen dat de kwetsbaarheid actief wordt misbruikt.”

Google Buzz werd vorige week gelanceerd, maar kreeg direct een stortvloed van kritiek over zich heen. DE dienst deelt automatisch en zonder van tevoren goed te waarschuwen lijsten van Gmail contacten. Daar is Google nu verandering in aan het aanbrengen.

Google niet te vertrouwen

Maar het beveiligingslek onderstreept een ander belangrijk punt, zei Hansen. “Vertrouwelijke informatie kan echt niet worden toevertrouwd aan Google, omdat ze hun eigen applicaties niet eens kunnen beschermen.”

Bron: Techworld.nl

ByteDance, het bedrijf dat ook eigenaar is van TikTok, heeft beloofd zijn AI-videotool Seedance 2.0 aan te passen nadat verschillende filmstudio's kritiek hebben geuit en zelfs hebben gedreigd met juridische stappen.

Met Seedance 2.0 kunnen gebruikers realistisch ogende video's met bekende acteurs maken. Afgelopen week ging een filmpje viral waarin acteurs Tom Cruise en Brad Pitt bovenop een gebouw vechten. Die video is geheel met AI gemaakt en heeft dus niets van doen met de echte acteurs.

Verschillende filmstudio's hebben hier kritiek op geuit, en The Walt Disney Company eist zelfs (via Axios) dat ByteDance het onmogelijk maakt om auteursrechtelijke personages in Seedance 2.0 te gebruiken. Mensen kunnen immers ook personages uit Disney-, Marvel- en Star Wars-films gebruiken voor de AI-tool. Ook Paramount heeft een brief gestuurd naar Variety.

ByteDance heeft op zijn beurt een statement naar buiten gebracht (via o.a. Reuters en BBC) waarin het claimt dat het de huidige beveiligingsmaatregelen gaat aanscherpen om zo te voorkomen dat gebruikers bestaande personages en acteurs in kunnen zetten. Op welke manier het bedrijf dat precies gaat doen is niet duidelijk.

Het kan zijn dat mensen die recentelijk aan Nioh 3 zijn begonnen geen progressie kunnen boeken vanwege verschillende bugs. Ontwikkelaar Team Ninja heeft aangegeven op de hoogte te zijn van de problemen en aan oplossingen te werken.

Een van de voornaamste problemen licht de ontwikkelaar ook uit op X. Spelers die de zogenaamde Crucible Manifesto voltooien en vervolgens naar de Eternal Rift gaan en daar dialogen van het personage Nekomoto overslaan - door bijvoorbeeld een menu te openen - kunnen daarna de missie niet voltooien. Hierdoor blijven ze dus vastzitten in de game. Ook het starten van een cutscene door bijvoorbeeld aan een Battle Scroll te beginnen, halteert progressie.

Team Ninja zegt dat de bug te vermijden is door dus geen menu’s te openen of tussenfilmpjes in te starten wanneer Nekomoto begint te praten. Wie nu al last heeft van dit probleem moet helaas wachten op de patch waar de ontwikkelaar momenteel aan werkt. Wanneer die uitrolt is nog niet bekend, maar gezien dit probleem op ieder beschikbaar platform optreedt wordt het - als het goed is - ook overal opgelost.

Over Nioh 3

In Nioh 3 doen spelers een open veld aan, dat overgenomen is door de zogenaamde Crucible en bomvol yokai - lees: geesten - zit. Je hebt twee gevechtssstijlen om deze monsters mee tegen te gaan: een meer actiegerichte Samurai-stijl en de Ninja-stijl die meer focus legt op snelheid en het gebruiken van speciale aanvallen. Door continu te wisselen tussen deze stijlen moet je deze soulslike kunnen overwinnen - als de code dus geen roet in het eten gooit.