Websecurity - Веб безпека

Виявлена кілька днів тому уразливість дозволяла вкрасти контакт лист цільового користувача, що відвідав спеціально сформовану веб сторінку.

Уразливість пов’язана з тим, що список контактів зберігався в javascript коді, що міг бути викликаний довільним сайтом. Gmail не перевіряв, який сайт викликав уразливу функцію, в результаті довільний веб сайт міг прочитати список контактів цільового користувача. Єдина умова для експлуатації уразливості полягала в тім, що користувач повинний у момент експлуатації мати активну сесію в Gmail.

PoC код був опублікований 1-го січня і Google знадобилося більше 30 годин для усунення виявленої уразливості.

По матеріалам http://www.securitylab.ru.

This entry was posted on 18:27 09.01.2007 and is filed under Новини. You can follow any responses to this entry through the RSS 2.0 feed.