Уязвимость при обработке XSS на сайтах Google
 

Уязвимость в механизмах обработки XSS (cross-site scripting) угрожала посетителям сайтов компании Google возможностью стать жертвой фишинговых атак, сообщает News.com. Уязвимость была обнаружена специалистами компании Watchfire. Подробная информация о ней была сообщена Google и опубликована в бюллетене компании.

Представители Google отметили, что узнали о наличии уязвимости еще 15 ноября, а возможность использования дыры была устранена 1 декабря. В Google подчеркнули, что конфиденциальные данные о пользователях не успели утечь в Сеть.

Причиной уязвимости стал механизм генерации страниц, сообщающих об ошибке в случае если пользователь указал неправильный адрес или обращается к отсутствующей на серверах Google странице. Для эффективного использования уязвимости злоумышленнику было достаточно применить символы в кодировке UTF-7 (Unicode Transformation Format) и затем подсунуть пользователю ссылку, после открытия которой появится сообщающая об ошибке страница Google, а также будет выполнен вредоносный скрипт. Будучи полученным от Google, код имеет доступ, в частности, к cookies сайтов поисковика и другим конфиденциальным данным.

Отметим, что уязвимости, связанные с обработкой XSS, обнаруживаются достаточно часто: в этом году аналогичная дыра была найдена на сайтах Google и почтовиках Yahoo и Gmail.