В сервисах и продуктах Google обнаружены три уязвимости
Уязвимости к межсайтовому скриптингу (CSS/XSS) были обнаружены в Google Groups, поисковой машине и Picasa. Уязвимость в Google Groups, к которой сразу же появилось множество эксплоитов, крадущих реквизиты доступа к GMail и пересылающих содержимое всего почтового ящика, была устранена. Эксплоиты работали в четырех самых известных браузерах: IE, Firefox, Opera и Konqueror. Для того чтобы уязвимость сработала, жертва должна была перейти по специально сформированному URL, находясь в почтовом ящике GMail.
В сервисах и продуктах Google в понедельник, 24 сентября 2007 г., были обнаружены три уязвимости, позволявшие злоумышленнику выполнить произвольный код на языке JavaScript от имени сайта и похитить реквизиты учетной записи, сохраненные в куки (cookie), а в одном случае - похитить фотографии из онлайн-хранилища.
Третья уязвимость позволяет похитить фотографии с Picasa, заманив жертву на вредоносную веб-страницу. Хотя в основе лежит межсайтовый скриптинг, для успешной атаки необходимо несколько составляющих: использование Flash, ненадежности в обработчике URI и подделка запросов при обмене данными между приложениями. Уязвимость пока не устранена, однако сложность ее эксплуатации остановит хакеров на некоторое время.
Предыдущая крупная серия уязвимостей в Google была обнаружена в конце мая - начале июня. Тогда четыре уязвимости к межсайтовому скриптингу просуществовали неделю после обнаружения.
www.securitylab.ru