вторник, март 07, 2006

14-годишно момче откри дупка в Gmail


Открита е уязвимост в интефейса на Gmail, която може да се използва за изпълнение на злонамерен JavaScript код.

За целта трябва просто да се изпрати писмо със скрипт. Отваряйки подобно писмо, жертвата оставя пощенската си кутия в ръцете на атакуващия. Интересното е, че дупката е открита не е от експерт по безопасността, а от 14-годишен ученик, изпращащ скрипт от пощенската си кутия в Yahoo в GMail.


За да се създаде подобно писмо, трябва да са изпълнени съвсем прости изисквания - да има кратък Subject и кратък текст преди самия скрипт, за да не попадне той в областта на цитирания текст на писмото.


Тъй като блогът на момчето е в системата Google Blogger, компанията е научила за тази уязвимост достатъчно бързо, за да я отстрани преди някой да е злоупотребил с нея.

Няма коментари: