Компания Google устранила опасную уязвимость в одном из своих онлайновых сервисов, связанную с обработкой XSS (cross-site scripting). Отметим, что уязвимости, связанные с обработкой XSS, обнаруживаются достаточно часто. Злоумышленник, умело использовавший "дыру", мог бы получить несанкционированный доступ к документам и сообщениям электронной почты пользователей сервиса. Аналогичная уязвимость не так давно была обнаружена в службе Blogger Custom Domains. Появление уязвимости связано с недавним обновлением, установленном на сервисе. При помощи вредоносного скрипта можно получить доступ, в частности, к cookies сайтов поисковика и другим конфиденциальным данным. Эксперт по сервисам Google Тони Раско смог таким образом несанкционированно создать страницу в домене Google.com, сообщает News.com. Представители интернет-гиганта заверили, что обе уязвимости были устранены в кратчайшие сроки, а сообщений об эффективном использовании "дыр" в компанию не поступало. Google также призвала экспертов по вопросам безопасности и рядовых энтузиастов сообщать о найденных уязвимостях в компанию, а уже затем публиковать информацию о "дыре". Это поможет избежать использования уязвимости злоумышленниками до ее устранения разработчиками.
Подробности