Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/06/2012
Google cierra Cross-Site Scripting persistentes en Gmail
Google ha solucionado varios problemas de cross-site scripting en su servicio de correo electrónico Gmail, que tiene más de 350 millones de usuarios activos.
Los problemas que ha solucionado Google en su servicio de correo podrían haber permitido a un atacante inyectar código malicioso en el sistema de la víctima. El investigador Nils Juenemann descubrió tres vulnerabilidades diferentes de tipo Cross Site Scripting (XSS) en Gmail, e informó de ellas al Equipo de Seguridad de Google, como parte del Programa de Recompensa de Vulnerabilidades, por el que investigadores en seguridad son recompensados con hasta 20,000 dólares por informar de fallos de seguridad en sus servicios web.
El más grave de estos fallos era un Cross Site Scripting persistente explotable a través de una URL especialmente modificada. Los fallos XSS persistentes se consideran más peligrosos que los normales (reflejados) ya que, en este caso, la petición maliciosa realizada por el atacante se guarda en el servidor, pudiendo producir la ejecución de código arbitrario. Para que el ataque tenga éxito, el atacante debía obtener el identificador estático del usuario y el identificador del mensaje. A pesar de esto, Juenemann indica que estos campos son fáciles de obtener.
Los otros fallos están basados en el DOM, siendo uno de ellos persistente, y otro reflejado basado en la vista móvil de Gmail. Juenemann indica que el Equipo de Seguridad de Google, tras su informe, resolvió los problemas de forma muy rápida. Se pueden encontrar más detalles sobre estos problemas en el blog de Juenemann, en el que además recomienda a los usuarios habilitar la verificación en dos pasos en sus cuentas.