[ Notícias ]
Google Apps tinha falha que permitia acesso a serviços do buscador
Vulnerabilidade que permitia ataques de cross-site scripting (XSS) indica riscos da popularidade do SaaS, diz pesquisador.
Uma falha já corrigida no Google Spreadsheets, a planilha online do Google Apps, permitia o acesso de um crackers a todos os serviços do Google, revelou um pesquisador de segurança nesta quarta-feira (16/04).
A vulnerabilidade viabilizava ataques de cross-site scripting (XSS) e é uma indicação dos riscos que podem acompanhar a grande popularidade do Software como Serviço (SaaS), segundo o pesquisador Billy Rios, que descobriu o problema.
Devido à forma como o Google estrutura seus processos de autenticação, um único ataque XSS pode oferecer acesso a todos os serviços e documentos da empresa, diz Rios. “Só com este XSS, posso fazer tudo que quiser no Google como se fosse você”, explicou o pesquisador em um post.
Os crackers se aproveitam da maneira como o Internet Explorer determina o tipo de conteúdo das respostas de servidores, ignorando o cabeçalho que informa o conteúdo das páginas, em algumas circunstâncias.
Segundo Rios, os navegadores Firefox, Opera e Safari podem ser levados ao mesmo comportamento.
“Os desenvolvedores precisam entender como os browsers lidam com diferentes cabeçalhos de conteúdo ou arriscarão sua aplicação hospedada na web a ataques XSS”, escreveu.
Para consolidar a invasão, Rios injetou um código HTML na primeira cédula de uma tabela, junto com um Javascript voltado a mostrar o cookie do usuário. O IE então renderizou o conteúdo como HTML, permitindo que o cookie fosse visualizado.
Em algumas semanas, o Google permitirá que os usuários visualizem e editem documentos do Google Apps também offline.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
Notícias MAIS RECENTES
Notícias MAIS LIDAS
Publicidade
