Первоапрельская шутка от Google серьезно ослабила защиту поисковика

image

Теги: Google, уязвимость, атака

Первоапрельская шутка с доменом com.google позволила злоумышленникам эксплуатировать уязвимость поисковой системы.

По мнению экспертов из компании Netcraft, первоапрельская шутка Google, когда все содержимое домена com.google (копии домашней страницы компании) отображалось вверх ногами  провалилась . Специалисты Netcraft считают, что благодаря этому Google позволила злоумышленникам эксплуатировать уязвимость в поисковой системе.

Эксперты Netcraft отмечают, что шутка «разрушила важную функцию безопасности реальной домашней страницы Google и сделала ее уязвимой к кликджекингу». Проблема состояла в том, как домен com.google использовал плавающий фрейм. Обычно google.com применяет заголовок X-Frame-Options для того, чтобы предотвратить отображение других сайтов в плавающем фрейме. Однако для реализации шутки в Google решили обойти эту проблему, выставив параметр «igu=2», который не только позволяет отобразить все содержимое наоборот, но также дает серверу команду полностью упускать заголовок X-Frame-Options.

Злоумышленник мог бы эксплуатировать подобную уязвимость для того, чтобы отобразить страницу настроек поисковика Google на внешнем домене и заставить жертву изменить эти настройки. Среди таких настроек присутствует возможность включения безопасного поиска, а также выставление данных о местоположении. Netcraft сообщила об уязвимости Google, и поисковая компания оперативно устранила брешь.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.