Lost in the Noise

Een beveiligingsonderzoeker genaamd “Inferno” heeft een zeer ernstig beveiligingslek in de website van Google ontdekt, waardoor aanvallers toegang tot e-mails, contacten, documenten, code en tal van andere diensten konden krijgen. Zelfs het “backdooren” van de iGoogle homepage via kwaadaardige gadgets behoorde tot de mogelijkheden. Cross-site scripting kwetsbaarheden komen vaker voor, maar in dit geval ging het om het cookie van Google.com, dat voor bijna alle Google diensten wordt gebruikt. Een aanvaller kon via het lek het cookie stelen en vervolgens toegang tot bijvoorbeeld Gmail, Google Docs en Google Analytics krijgen.

De ernst van het lek was de zoekgigant niet ontgaan. Binnen vijftig minuten na Google te hebben ingelicht, ontving Inferno een bevestiging van zijn ontdekking. Ruim twee weken later was de kwetsbaarheid verholpen en op 7 mei werd de update uitgerold. Een proof-of-concept van het inmiddels niet meer werkende lek is op het blog van de onderzoeker te vinden. Google mag blij zijn dat Inferno het lek bij hen meldde, volgens andere onderzoekers zijn dit soort kwetsbaarheden tienduizenden dollars op de zwarte markt waard.

Meer informatie is HIER te vinden