https://forum.sources.ru Форум на Исходниках.RU Форум на Исходниках.RU https://forum.sources.ru/index.php?showtopic=204339&view=findpost&p=1708378 Tue, 25 Sep 2007 13:02:47 +0000 https://forum.sources.ru/index.php?showtopic=204339&view=findpost&p=1708378
Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa, сообщает The Register.

Уязвимость в Google Groups, к которой сразу же появилось множество эксплоитов, крадущих реквизиты доступа к GMail и пересылающих содержимое всего почтового ящика, была устранена. Эксплоиты работали в четырех самых известных браузерах: IE, Firefox, Opera и Konqueror. Для того чтобы уязвимость сработала, жертва должна была перейти по специально сформированному URL, находясь в почтовом ящике GMail.

Вторая уязвимость того же типа обнаружена в поисковых машинах Google. Эксплоиты, опубликованные в блоге Mustlive, позволяли похитить аутентификационные куки при помощи специально сформированного URL, ведущего на сайт ICANN и Университета Йорка. Первая была устранена ICANN, а вторая пока действует. Поиск в Google показал, что примерно 200 тыс. сайтов могут быть использованы для атаки.

Третья уязвимость позволяет похитить фотографии с Picasa, заманив жертву на вредоносную веб-страницу. Хотя в основе лежит межсайтовый скриптинг, для успешной атаки необходимо несколько составляющих: использование Flash, ненадежности в обработчике URI и подделка запросов при обмене данными между приложениями. Уязвимость пока не устранена, однако сложность ее эксплуатации остановит хакеров на некоторое время.

Предыдущая крупная серия уязвимостей в Google была обнаружена в конце мая - начале июня. Тогда четыре уязвимости к межсайтовому скриптингу просуществовали неделю после обнаружения.

Ссылка: http://safe.cnews.ru/news/line/index.shtml?2007/09/25/267608]]> RSS_Bot Новости: Безопасность