Уязвимость в механизмах обработки XSS (cross-site scripting) угрожала посетителям сайтов компании Google возможностью стать жертвой фишинговых атак, сообщает (http://news.com.com/Google+plugs+obscure+phishing+holes/2100-1002_3-6004471.html) News.com. Уязвимость была обнаружена специалистами компании Watchfire (http://www.watchfire.com/). Подробная информация о ней была сообщена Google и опубликована в бюллетене (http://www.webappsec.org/lists/websecurity/archive/2005-12/msg00059.html) компании.

Представители Google отметили, что узнали о наличии уязвимости еще 15 ноября, а возможность использования дыры была устранена 1 декабря. В Google подчеркнули, что конфиденциальные данные о пользователях не успели утечь в Сеть.

Причиной уязвимости стал механизм генерации страниц, сообщающих об ошибке в случае если пользователь указал неправильный адрес или обращается к отсутствующей на серверах Google странице. Для эффективного использования уязвимости злоумышленнику было достаточно применить символы в кодировке UTF-7 (Unicode Transformation Format) и затем подсунуть пользователю ссылку, после открытия которой появится сообщающая об ошибке страница Google, а также будет выполнен вредоносный скрипт. Будучи полученным от Google, код имеет доступ, в частности, к cookies сайтов поисковика и другим конфиденциальным данным.

Отметим, что уязвимости, связанные с обработкой XSS, обнаруживаются достаточно часто: в этом году аналогичная дыра была найдена на сайтах Google (http://news.com.com/Google+fixes+Web+site+security+bug/2100-1002_3-5892525.html?tag=nl) и почтовиках Yahoo (http://news.com.com/Yahoo+fixes+Web+mail+security+flaw/2100-1002_3-5907383.html?tag=nl) и Gmail (http://news.com.com/Gmail+glitch+yields+access+to+messages/2100-1029_3-5534210.html?tag=nl).


сompulenta.ru