Сервисы Google "работают" на хакеров: три уязвимости

Вторник, 25 сентября 2007 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

В сервисах и продуктах Google в понедельник, 24 сентября 2007 г., были обнаружены три уязвимости, позволявшие злоумышленнику выполнить произвольный код на языке JavaScript от имени сайта и похитить реквизиты учетной записи, сохраненные в куки (cookie), а в одном случае - похитить фотографии из онлайн-хранилища.
Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa, сообщает The Register.
Уязвимость в Google Groups, к которой сразу же появилось множество эксплоитов, крадущих реквизиты доступа к GMail и пересылающих содержимое всего почтового ящика, была устранена. Эксплоиты работали в четырех самых известных браузерах: IE, Firefox, Opera и Konqueror. Для того чтобы уязвимость сработала, жертва должна была перейти по специально сформированному URL, находясь в почтовом ящике GMail.
Вторая уязвимость того же типа обнаружена в поисковых машинах Google. Эксплоиты, опубликованные в блоге Mustlive, позволяли похитить аутентификационные куки при помощи специально сформированного URL, ведущего на сайт ICANN и Университета Йорка. Первая была устранена ICANN, а вторая пока действует. Поиск в Google показал, что примерно 200 тыс. сайтов могут быть использованы для атаки.
Третья уязвимость позволяет похитить фотографии с Picasa, заманив жертву на вредоносную веб-страницу. Хотя в основе лежит межсайтовый скриптинг, для успешной атаки необходимо несколько составляющих: использование Flash, ненадежности в обработчике URI и подделка запросов при обмене данными между приложениями. Уязвимость пока не устранена, однако сложность ее эксплуатации остановит хакеров на некоторое время.
Предыдущая крупная серия уязвимостей в Google была обнаружена в конце мая - начале июня. Тогда четыре уязвимости к межсайтовому скриптингу просуществовали неделю после обнаружения.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 1031
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003