В программном обеспечении аппаратных поисковых машин Google - Google Search Appliance и Google Mini, обнаружена уязвимость типа XSS, позволяющая похищать куки и проводить фишерские атаки.
Уязвимость обнаружили эксперты Google. По заявлению компании, клиенты были немедленно предупреждены и проинструктированы о необходимости связаться с поставщиком для устранения проблемы. Компания пообещала в скором времени выпустить обновление безопасности, исключающее эксплуатацию уязвимости, и заявила о том, что ни одного сообщения об атаках пока не поступало.
Уязвимость типа XSS (cross-site scripting) позволяет сконструировать специальный URL с закамуфлированными инструкциями, например, на JavaScript, которые будут выполнены сервером от его имени. Так, пользователь может быть перенаправлен на сайт третьей стороны, при этом адресная строка браузера останется без изменений. При помощи атаки XSS с компьютера пользователя также могут быть похищены куки (cookies) – небольшие участки данных, оставляемые сервером, которые могут содержать конфиденциальные реквизиты.
Специально сконструированный URL обычно присылают по электронной почте. Несанкционированный код закамуфлирован шестнадцатиричным представлением букв и незаметен для жертвы. Такие ссылки отличаются от обычных сравнительно большой длиной.
Интересные материалы: все новости
|