Опубликована информация о трех XSS-уязвимостях Gmail
Главная » Новости
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+

Опубликована информация о трех XSS-уязвимостях Gmail

Александр Панасенко 14 Июня 2012 - 17:47
...

Эксперт компьютерной безопасности Нильс Джунман (Nils Junemann) опубликовал техническую информацию о трех XSS-уязвимостях в почтовом сервисе Gmail. В результате успешного использования XSS-уязвимостей злоумышленникам удается скомпрометировать информацию о текущем сеансе пользователя, а при проведение целевой многоуровневой атаки, и вовсе, получить контроль над учетной записью.

Две уязвимости касались особенностей мобильного представления Gmail. Первая уязвимость заключалась в недостаточной проверке данных при формирование заголовка пересылаемого сообщения, что позволяло выполнить произвольный JavaScript-код в момент открытия письма со специально сформированным заголовком. Недостаточная проверка параметров поискового запроса, стала причиной второй XSS-уязвимостью. Третья XSS-уязвимость затронула параметры отображения отдельного сообщения, передает uinc.ru.

Однако, для выполнения внедренного JavaScript-кода пользователю необходимо проследовать по ссылке в письме, которая будет указывать на веб-сайт злоумышленников. Дело в том, что отображение письма требует знания уникального идентификатора пользователя и сообщения. Эти идентификаторы могут быть получены, например, путем внедрения в почтовое сообщение изображения, размещаемого на веб-сайте злоумышленников. Получив уникальный адрес просмотра, злоумышленники могут сформировать специальный URL-перенаправления, перейдя по которому пользователь выполнит вредоносный JavaScript в контексте веб-сайта почтовой службы Gmail.

По заявлению исследователя, все уязвимости были оперативно устранены сотрудниками компании Google. В качестве основной меры борьбы с еще неизвестными XSS-уязвимости, эксперты компьютерной безопасности рекомендуют использовать двухуровневую авторизацию и не открывать письма от неизвестных отправителей.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

BI.ZONE купила вендора антивирусного движка NANO Security
Яков Шпунт 17 Сентября 2025 - 09:07
BI.ZONE EDR Корпорации Защита конечных точек сетиСистемы обнаружения целевых атак на конечных точках сети (EDR) BI.ZONE
BI.ZONE купила вендора антивирусного движка NANO Security

Группа компаний BI.ZONE приобрела 100% долю разработчика антивирусного ядра NANO Security. Полученные технологии планируется интегрировать в существующий продукт BI.ZONE EDR, а также компания не исключает выхода на розничный рынок. Финансовые условия сделки не разглашаются.

О покупке сообщил «Коммерсантъ» со ссылкой на BI.ZONE. В компании пояснили, что цель сделки — полный контроль и доступ к антивирусному ядру.

Ядро будет встроено в BI.ZONE EDR – комплексную систему обнаружения и реагирования на угрозы для конечных точек. В компании также рассматривают возможность использования ядра для розничных продуктов.

Кроме того, BI.ZONE планирует создание единой платформы для защиты конечных точек, ориентированной как на корпоративных заказчиков, так и на частных пользователей. Генеральный директор BI.ZONE Дмитрий Самарцев отметил, что технологии NANO Security будут интегрированы и в другие продукты компании, включая решения для защиты электронной почты, песочницы и NGFW.

Оценки стоимости сделки среди аналитиков существенно различаются. Так, главный аналитик «РегБлока» Анна Авакимян оценила её в 15–35 млн рублей, аналитик «Финама» Леонид Делицын назвал сумму около 50 млн рублей, основатель Dsight Арсений Даббах дал диапазон в 50–100 млн рублей, а управляющий партнёр Sk Capital Станислав Колесниченко предположил, что стоимость могла достичь 150 млн рублей.

По словам инвестиционного директора Kama Flow Сергея Гайворонского, ключевой мотив сделки — формирование собственной экосистемы кибербезопасности. Он подчеркнул, что инвестиция сделана в компанию, работающую на сформировавшемся рынке.

«Хотя у компании есть шанс занять долю, освободившуюся после ухода зарубежных игроков розничного сегмента, бренд NANO Security мало известен массовому пользователю. После сделки потребуется серьёзно инвестировать в рекламу и продвижение, чтобы повысить узнаваемость и доверие к продукту», — отметил партнёр практики сопровождения сделок консалтинговой компании Neo Владимир Фомченко.

Это не первая подобная сделка в 2025 году. Так, в феврале Positive Technologies приобрела долю в белорусском вендоре «ВирусБлокАда», чтобы использовать его технологии для развития собственных решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Москве осудили группу, похищавшую деньги умерших через сим-карты
Новость
В Москве осудили группу, похищавшую деньги умерших через сим...
Спрос на услуги пентестеров в крупном бизнесе вырос на 55%
Новость
Спрос на услуги пентестеров в крупном бизнесе вырос на 55%
Число атакующих Россию кибергрупп выросло в 2,5 раза за год
Новость
Число атакующих Россию кибергрупп выросло в 2,5 раза за год

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.