NÀr du skriver en kommentar kan du göra formatteringstricks med Markdown
, men Markdown-parseren som Lemmy anvÀnder konverterar inte innehÄllet till plaintext nÀr den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.
Idag anvÀnde en hackare lÀnkade bilder i lemmy.world:s kommentarer vars alternativtext innehÄller skriptet som stjÀl autentiseringsnyckeln av anvÀndare som laddar kommentaren. Med den metoden fick hackaren tillgÄng till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, sÄ alla inloggade anvÀndare skulle fÄ sin nyckel stulen (eftersom sidebaren laddas pÄ varje sida).
Som anvÀndare Àr det bÀst att du inte besöker Lemmy-sidor inloggat pÄ en webbrowser just nu - attacken Àr inte begrÀnsad till lemmy.world och kan anvÀndas till att hÀmta autentiseringsnycklar frÄn alla instanser som inte blockerar körbara skript.
Admin kan lÀgga till script-src 'self' 'nonce-$RANDOM'
till instansens Content Security Policy pÄ proxyservern för att blockera körbara skript pÄ sidan. LÀs mer hÀr för att lÀra dig mer om hur exploiten fungerar (extern instans, du blir utloggad).