Google устранил уязвимость в Gmail
Google устранил уязвимость в Gmail
Alexander Antipov
Обнаруженная несколько дней назад уязвимость позволяла украсть контакт лист целевого пользователя, посетившего специально сформированную Web страницу.
Обнаруженная несколько дней назад уязвимость позволяла украсть контакт лист целевого пользователя, посетившего специально сформированную Web страницу.
Уязвимость связанна с тем, что список контактов хранился в javascript коде, который мог быть вызван произвольным сайтом. GMail не проверял, какой сайт вызывал уязвимую функцию, в результате произвольный Web сайт мог прочитать список контактов целевого пользователя. Единственное условие для эксплуатации уязвимости заключалось в том, что пользователь должен в момент эксплуатации иметь активную сессию в Gmail.
PoC код был опубликован 1-го января и Google потребовалось более 30 часов для устранения обнаруженной уязвимости.
Уязвимость связанна с тем, что список контактов хранился в javascript коде, который мог быть вызван произвольным сайтом. GMail не проверял, какой сайт вызывал уязвимую функцию, в результате произвольный Web сайт мог прочитать список контактов целевого пользователя. Единственное условие для эксплуатации уязвимости заключалось в том, что пользователь должен в момент эксплуатации иметь активную сессию в Gmail.
PoC код был опубликован 1-го января и Google потребовалось более 30 часов для устранения обнаруженной уязвимости.