Buscar

2007/06/05

Nuevas vulnerabilidades en los servicios de Google

Me entero por The Register que han aparecido varias vulnerabilidades de Google a lo largo de esta última semana, por ejemplo un agujero de seguridad en el Desktop de Google que permite al atacante ejecutar cualquier archivo en el terminal del usuario. También, entre otras, apareció una vulnerabilidad de XSS en Gmail que deja a un atacante tener acceso o suprimir un email del usuario. El que descubrió que la vulnerabilidad de escritorio de Google explicó los detalles. Es un ataque tipo man in the middle (MITM) que mediante código fuerza al usuario a clicar sobre un resultado del Google Desktop. El ataque XSS sobre Gmail era más serio que el del Google Desktop, ya que permitía que el atacante hackeara la sesión de gmail a través de una visita a una web maliciosa por parte del usuario. Afortunadamente Google ya ha comunicado que esto ha sido solucionado.

El agujero más interesante está en una herramienta que los webmasters usan para hacer que sus páginas no aparezcan en las búsquedas. Cualquiera podría ir al arbol de directorios para ver los archivos en el servidor de Google, incluso los que están ocultos a la vista. Por ejemplo 0×000000 fue capaz de encontrar el password de una de las bases de datos de Google simplemente bajándose un archivo.

Fuente: Barrapunto.

No hay comentarios: