В Google заделали опасную дыру
Компания Google заделала дыру в службе Google Custom Search. Эта служба позволяет владельцам сайтов и порталов использовать Google для организации поиска по своим ресурсам. Однако, как выяснилось, Google не проверяет ссылки на графические файлы и злоумышленник может вставить в них скрипт, изменяющий содержание страницы с результатами поиска. В результате, модифицированную страницу можно использовать, для того чтобы выманить у пользователя данные о кредитной карте.
В Google достаточно быстро справились с уязвимостью, введя проверку наличия скриптов в ссылках на изображения. Если вместо нормальной ссылки используется javascript или vbscript, то такая ссылка блокируется. Таким образом, использовать данную дыру стало невозможно, хотя специалисты по безопасности не исключают, что могут существовать и другие способы "скормить" Google вредоносный скрипт, сообщает Infoworld.
Эксперты отмечают, что подобные дыры не являются особенностью одной только поисковой системы, а характерны для любых сайтов, динамически генерирующих страницы в ответ на пользовательский запрос. Если содержимое запроса недостаточно хорошо проверяется или обрабатывается, появляются возможности для разного рода злоупотреблений.
В Google достаточно быстро справились с уязвимостью, введя проверку наличия скриптов в ссылках на изображения. Если вместо нормальной ссылки используется javascript или vbscript, то такая ссылка блокируется. Таким образом, использовать данную дыру стало невозможно, хотя специалисты по безопасности не исключают, что могут существовать и другие способы "скормить" Google вредоносный скрипт, сообщает Infoworld.
Эксперты отмечают, что подобные дыры не являются особенностью одной только поисковой системы, а характерны для любых сайтов, динамически генерирующих страницы в ответ на пользовательский запрос. Если содержимое запроса недостаточно хорошо проверяется или обрабатывается, появляются возможности для разного рода злоупотреблений.
Ещё новости по теме:
18:20