Google усунула небезпечну уразливість

19:42 25.01.2007

Компанія Google усунула небезпечну уразливість в одному зі своїх онлайнових сервісів, пов’язану з обробкою XSS.

Зловмисник, при вмілому використанні діри, міг би одержати несанкціонований доступ до документів і повідомлень електронної пошти користувачів сервісу. Аналогічна уразливість не дуже давно була виявлена в службі Blogger Custom Domains. Поява уразливості пов’язана з недавнім оновленням, установленому на сервісі.

За допомогою шкідливого скрипта можна одержати доступ, зокрема, до cookies сайтів пошуковця та інших конфіденційних даних. Експерт по сервісам Google Тоні Раско зміг у такий спосіб несанкціановано створити сторінку в домені Google.com.

Представники інтернет-гіганта завірили, що обидві уразливості були усунуті в найкоротший термін, а повідомлень про ефективне використання дір у компанію не надходило. Google також призвала експертів з питань безпеки і рядових ентузіастів повідомляти про знайдені уразлиовсті в компанію, а вже потім публікувати інформацію про діру. Це допоможе уникнути використання уразливості зловмисниками до її усунення розробниками.

По матеріалам http://www.secblog.info.

P.S.

Одна зі згаданих в новині дір - це уразливість в Blogspot, блог-сервісі Гугла.

Як повідомив RSnake в записі Blogspot XSS For Safari, нещодавно була виявлена XSS уразливість в Blogspot. І ця діра працює лише в браузері Safari, бо сам експлоіт вельми хитрий (хоча як повідомив відвідувач в коментарях, дана діра працює і в IE для Windows Mobile). Гугл через деякий час вже виправив дану уразливість.


Leave a Reply

You must be logged in to post a comment.