Google усунула небезпечну уразливість
19:42 25.01.2007Компанія Google усунула небезпечну уразливість в одному зі своїх онлайнових сервісів, пов’язану з обробкою XSS.
Зловмисник, при вмілому використанні діри, міг би одержати несанкціонований доступ до документів і повідомлень електронної пошти користувачів сервісу. Аналогічна уразливість не дуже давно була виявлена в службі Blogger Custom Domains. Поява уразливості пов’язана з недавнім оновленням, установленому на сервісі.
За допомогою шкідливого скрипта можна одержати доступ, зокрема, до cookies сайтів пошуковця та інших конфіденційних даних. Експерт по сервісам Google Тоні Раско зміг у такий спосіб несанкціановано створити сторінку в домені Google.com.
Представники інтернет-гіганта завірили, що обидві уразливості були усунуті в найкоротший термін, а повідомлень про ефективне використання дір у компанію не надходило. Google також призвала експертів з питань безпеки і рядових ентузіастів повідомляти про знайдені уразлиовсті в компанію, а вже потім публікувати інформацію про діру. Це допоможе уникнути використання уразливості зловмисниками до її усунення розробниками.
По матеріалам http://www.secblog.info.
P.S.
Одна зі згаданих в новині дір - це уразливість в Blogspot, блог-сервісі Гугла.
Як повідомив RSnake в записі Blogspot XSS For Safari, нещодавно була виявлена XSS уразливість в Blogspot. І ця діра працює лише в браузері Safari, бо сам експлоіт вельми хитрий (хоча як повідомив відвідувач в коментарях, дана діра працює і в IE для Windows Mobile). Гугл через деякий час вже виправив дану уразливість.