В сервисах и продуктах Google обнаружены три уязвимости

image

Теги: Googl

Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa.

В сервисах и продуктах Google в понедельник, 24 сентября 2007 г., были обнаружены три уязвимости, позволявшие злоумышленнику выполнить произвольный код на языке JavaScript от имени сайта и похитить реквизиты учетной записи, сохраненные в куки (cookie), а в одном случае - похитить фотографии из онлайн-хранилища.

Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa.

Уязвимость в Google Groups, к которой сразу же появилось множество эксплоитов, крадущих реквизиты доступа к GMail и пересылающих содержимое всего почтового ящика, была устранена. Эксплоиты работали в четырех самых известных браузерах: IE, Firefox, Opera и Konqueror. Для того чтобы уязвимость сработала, жертва должна была перейти по специально сформированному URL, находясь в почтовом ящике GMail.

Вторая уязвимость того же типа обнаружена в поисковых машинах Google. Эксплоиты, опубликованные в блоге Mustlive, позволяли похитить аутентификационные куки при помощи специально сформированного URL, ведущего на сайт ICANN и Университета Йорка. Первая была устранена ICANN, а вторая пока действует. Поиск в Google показал, что примерно 200 тыс. сайтов могут быть использованы для атаки.

Третья уязвимость позволяет похитить фотографии с Picasa, заманив жертву на вредоносную веб-страницу. Хотя в основе лежит межсайтовый скриптинг, для успешной атаки необходимо несколько составляющих: использование Flash, ненадежности в обработчике URI и подделка запросов при обмене данными между приложениями. Уязвимость пока не устранена, однако сложность ее эксплуатации остановит хакеров на некоторое время.

Предыдущая крупная серия уязвимостей в Google была обнаружена в конце мая - начале июня. Тогда четыре уязвимости к межсайтовому скриптингу просуществовали неделю после обнаружения.


или введите имя

CAPTCHA
1
26-09-2007 10:25:28
У google единственное что хорошее это поисковик и Земля. Остальное гуано еще то в том числе и эта eбо почта, про которую так любят кричать кулцхекеры "гымаил рулит )
0 |
1
26-09-2007 11:02:53
почта у гугля очень даже ничего я бы даже сказал - лучшая из бесплатных и даже некоторых платных
0 |
1
26-09-2007 11:07:54
Бред. Нормальные писма на Кирилице в спам суёт. То люди в чужие учетки попадают, то учетки вовсе удаляются. Теперь активная xss. Не вижу ничего хорошего... один пафос
0 |
1
26-09-2007 12:02:36
Предложи другую, умник.
0 |
1
26-09-2007 12:09:06
* почта на google рулит, ни *. Неразу небыло что бы беспреченно засунуло письмо в спам
0 |
1
26-09-2007 12:34:15
В школе с последних уроков отпустили?
0 |
26-09-2007 13:54:43
gmail + bat всего 2 спама за 2,5 года + 2 письма нужны кинула в спам
0 |
FSA
27-09-2007 00:14:24
Предложи ещё кого-то, кто предоставляет почтовый хостинг для своего домена бесплатно и с вменяемым и удобным веб-интерфейсом.
0 |
1
26-09-2007 11:59:23
На прошлой неделе потерял ящик. Возможно, по причине этой самой уязвимости
0 |
1
26-09-2007 12:48:58
Ну, блин... Развелось лохов... Хрена на GMail наезжаете? Из бесплатных серверов это самый лучший. А mail.ru для меня (и многих других) полная лажа. Смап только так и хлещет, даже фильтра никакого нет. К тому же, пароли для ящика на mail.ru спересть - раз плюнуть. Защита оставляет желать лучшего. К тому же стоит учитывать, что GMail находится еще на стадии тестирования. У меня лично никогда не было проблем с GMail. Просто надо правильно юзать его и настраивать. За 2 года всего 30 спам писем!!! Каково? Просто * адресом сорить, где попало.
0 |
1
26-09-2007 13:47:22
К тому же, пароли для ящика на mail.ru спересть - раз плюнуть.Давай впуть: xakeram@mail.ru. Напишешь здесь текст письма находящегося в черновиках, получишь 20$
0 |
26-09-2007 13:52:55
+1
0 |
1
26-09-2007 14:57:05
у тебя в черновиках ничего нет
0 |
1
26-09-2007 15:24:56
Картинка как всегда жжот Только почему жуков полезных нарисовали? Колорадских нарисовать было бы не сложнее
0 |