martes, 25 de septiembre de 2007

Ultimamente Google se ha visto envuelto en un circulo de vulnerabilidades que han sido descubiertas y expuestas en distintos portales de internet, solo basta recordar el Google Search Appliance XSS descubierto por MustLive, el cual afectaba a una gran cantidad de usuarios.

La aplicacion en que Google aposto en el mercado de las imagenes, se vio afectada por un agujero de seguridad provocado por XSS especificamente por CARF, donde atravez de una pagina web especialmente malformada para este fin es posible acceder a imagenes privadas del usuario que sea atacado, es posible encontrar varias pruebas de concepto de Picasa Exploit.

Despues del lanzamiento del blog de beford que esta enfocado en Google Polls XSS, este es un nuevo servicio integrado que utiliza algunas funcionalidades acorde con multiple servicios, puede ser usado para busqueda de ataque, blogger, Google Groups y en los casos mas dramaticos con Gmail:

  1. This POC steals your Google contacts
  2. This POC steals your GMail incoming messages

Y las mas reciente vulnerabilidad descubierta por Adrian Pastor miembro del grupo GNUCITIZEN es un Urchin Login XSS, la cual compromete en la instalacion de Google Analyctics, esto puede ser algo severo dependiento de como este instalado Urchin, pero la prueba de concepto proporcionada, muestra las credenciales actuales de la sesion en curso. No es un ejemplo espectacular, pero muestra el peligro del XSS.

Estas vulnerabilidades fueron corregidas rapidamente por parte de Google, que es uno de las organizaciones mas activas en cuanto a la correccion de vulnerabilidades, pero esto no es lo importante, ya que el objetivo principal es lo facil con lo que se descubren estos agujeros y dejan vulnerables las defensas de millones de usuarios que utilizan estas aplicaciones, provocando una gran diversidad de incidentes de seguridad no esperados.

Mas info:
hackademix.net

0 comentarios :