injection di codice javascript in una immagine

Avete capito benissimo. Allo stato attuale un abile coder è riuscito, sfruttando la composizione esadecimale delle immagini, a inserire del potenziale codice malevolo dentro una immagine GIF.

Il sorgente del tool sta in questa pagina github .

In pratica come spiega nel suo sito il file GIF (nello specifico)

A gif file header contains at least 10 bytes. The first six are the string GIF89a which is just ascii and no problem to read for a java script interpreter.

Con la sua utility riesce a cambiarlo in:

Our header now looks like this GIF89a/*0*/=0;. After this you can add any valid javascript code.

Quindi possiamo semplicemente richiamare questo file GIF malevolo dai comuni tag