Vulnerabilidad en el 'Google Public Service Search'
e hace algún tiempo, existe el programa
'Google Public Service Search' que permite sobre
todo a las Universidades construir una página inicial personalizada que incluye búsquedas dentro de su
sitio web, como por ejemplo
esta de la Universidad de Berkeley o
esta de la Católica de Chile.
Ahora, Eric Farraro nos cuenta que, gracias al editor HTML que
incorpora este servicio, y aprovechando una vulnerabilidad XSS
que incorporaba, se podían crear páginas de inicio maliciosas que pudieran intentar engañar a los usuarios.
Farraro asegura que, debido a que las páginas tienen la URL 'google.com/u/loquesea', cualquiera puede suponer
que se trata de una oficial de Google. De hecho, él creó hace unas horas
'googel.com/u/gplus' (ver
captura de esta mañana), en la que se anunciaba un supuesto 'Gmail plus' con un
formulario para que el usuario inserte su usuario y contraseña de Gmail. Sin embargo, este formulario
reenvía a un script de una página personal de Farraro donde, supuestamente, cualquiera podría memorizar
los datos personales de acceso a Gmail. La página del falso 'Gmail plus' ha sido eliminada, así como
la posibilidad de crear nuevas cuentas en 'Google Public Service Search'.
Esta no es la primera vulnerabilidad XSS que se descubre en alguno de los servicios de Google:
[1],
[2],
[3],
[4],
[5],
[6].
ACTUALIZADO: En este post oficial de Google se informa que el acceso al panel de control del servicio 'Google Public Service Search' se ha inhabilitado temporalmente hasta que se solucione la vulnerabilidad.
Publicado el 15 de septiembre de 2006 | Categoría: problemas
Puedes dejar un comentario sobre la noticia del post rellenando y enviando el siguiente formulario. Los campos marcados con asterisco (*) son obligatorios.
|
