Опубликована информация о трех XSS-уязвимостях Gmail

Александр Панасенко 14 Июня 2012 - 17:47

...

Эксперт компьютерной безопасности Нильс Джунман (Nils Junemann) опубликовал техническую информацию о трех XSS-уязвимостях в почтовом сервисе Gmail. В результате успешного использования XSS-уязвимостей злоумышленникам удается скомпрометировать информацию о текущем сеансе пользователя, а при проведение целевой многоуровневой атаки, и вовсе, получить контроль над учетной записью.

Две уязвимости касались особенностей мобильного представления Gmail. Первая уязвимость заключалась в недостаточной проверке данных при формирование заголовка пересылаемого сообщения, что позволяло выполнить произвольный JavaScript-код в момент открытия письма со специально сформированным заголовком. Недостаточная проверка параметров поискового запроса, стала причиной второй XSS-уязвимостью. Третья XSS-уязвимость затронула параметры отображения отдельного сообщения, передает uinc.ru.

Однако, для выполнения внедренного JavaScript-кода пользователю необходимо проследовать по ссылке в письме, которая будет указывать на веб-сайт злоумышленников. Дело в том, что отображение письма требует знания уникального идентификатора пользователя и сообщения. Эти идентификаторы могут быть получены, например, путем внедрения в почтовое сообщение изображения, размещаемого на веб-сайте злоумышленников. Получив уникальный адрес просмотра, злоумышленники могут сформировать специальный URL-перенаправления, перейдя по которому пользователь выполнит вредоносный JavaScript в контексте веб-сайта почтовой службы Gmail.

По заявлению исследователя, все уязвимости были оперативно устранены сотрудниками компании Google. В качестве основной меры борьбы с еще неизвестными XSS-уязвимости, эксперты компьютерной безопасности рекомендуют использовать двухуровневую авторизацию и не открывать письма от неизвестных отправителей.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Яков Шпунт 16 Января 2026 - 14:14

Соответствие законодательству РФ Государство Наталья Касперская

Касперская раскритиковала идею ИТ-льгот для госструктур

Согласно предлагаемым изменениям в Постановление Правительства № 1729 от 30.09.2022, ИТ-подразделения государственных структур смогут получить все льготы, предусмотренные для ИТ-компаний. По мнению Натальи Касперской, ключевым преимуществом для ИТ-структур госорганов станет освобождение от проверок — как плановых, так и внеплановых.

Дополнительным значимым фактором может стать и снижение страховых взносов.

Проект документа размещён на портале проектов нормативных правовых актов. Обсуждение инициативы завершилось 15 января.

Как обратила внимание председатель правления Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» Наталья Касперская, документ предусматривает возможность получения ИТ-аккредитации органами государственной власти, уполномоченными федеральным правительством или высшими исполнительными органами субъектов РФ, при условии соответствия ряду критериев.

В то же время, по мнению главы АРПП «Отечественный софт», такие меры создают необоснованные конкурентные преимущества для ИТ-подразделений госструктур по сравнению с рыночными компаниями:

«Это выглядит как формирование неравных конкурентных условий для госорганов по отношению к участникам рынка. При этом эффективность государственных разработок зачастую оставляет желать лучшего, и конкурировать с коммерческими решениями им непросто. В данной ситуации появляются нерыночные преимущества».

Компании, входящие в АРПП «Отечественный софт», уже подготовили замечания к проекту документа. В случае если они не будут учтены, ассоциация намерена обратиться в антимонопольные органы.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »