Anche i ricchi sbagliano

Oggi arriva a me e a 12 miei contatti in rubrica Gmail una email dal mio account Gmail. Giro un po’ per la rete, mi faccio aiutare dal direttore tecnico di Ymir e scopriamo che: 

Il ricercatore colombiano Fernando Muñoz ha scoperta un nuova vulnerabilità XSS in Google.com che può essere sfruttata per rubare informazioni dagli account di posta Gmail. Muñoz ha pubblicato una “full disclosure” della falla. Il problema risiede nella funzione sondaggi di Blogspot, già affetta da altra problematiche di sicurezza. Il parametro ‘font’ non veniva correttamente “bonificato” prima di essere utilizzato all’interno del tag STYLE, permettendo iniezione di codice. A quanto pare Google ha corretto questo particolare bug ma non ha “verificato” il resto del codice della funzione. Muñoz ha pubblicato due allarmanti PoC (Proof of Concept): il primo permette di rubare i contatti della rubrica Gmail, i lsecondo ruba i messaggi in arrivo inviandoli ad un altro indirizzo di posta.Per cadere vittime di questo tipo di attacchi basta visitare pagine modificate per lo scopo mentre si è loggati nel proprio account Google. L’exploit funziona su tutti i principali browser web. Muñoz consiglia agli utenti di di Firefox di utilizzare l’estensione NoScript che permette di proteggersi da questo ed altri attacchi XSS.”

E io che pensavo a Google come a un supereroe! 🙂

Altre info quiqui 

Annunci

One thought on “Anche i ricchi sbagliano

  1. In realtà come si può vedere da questo link
    http://adblockplus.org/blog/predictable-whitelists-strike-again
    nemmeno NoScript serve realmente a qualcosa. Inoltre l’installazione di default ha una whitelist (una lista di siti “buoni”) e tra questi sono inclusi anche google e microsoft, che sono elencati fra i siti colpiti da questo tipo di attcchi.
    Cosa fare dunque? Chiudersi in casa e buttare via la chiave 🙂
    Non esageriamo, però… prudenza.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...