JavaScript-библиотека стала причиной XSS-дыры в Google Search

Олег Иванов 02 Апреля 2019 - 11:00

Домашние пользователи

...

JavaScript-библиотека с открытым исходным кодом стала причиной уязвимости межсайтового скриптинга (XSS) в Google Search и, предположительно, других продуктах Google. Проблему обнаружил японский исследователь в области безопасности Масато Кинугава.

По словам эксперта, всему виной стало небольшое изменение в коде библиотеки, которое было зафиксировано несколько месяцев назад. В результате злоумышленники могли успешно использовать XSS-дыру для фишинговых атак.

Специалисты компании LiveOverflow изучили эту проблему безопасности, после чего заявили: уязвимость присутствует в библиотеке Closure. Как оказалось, Closure не может корректно отфильтровать ввод пользователя.

Closure представляет собой JavaScript-библиотеку, созданную Google специально для сложных и масштабируемых веб-приложений. Корпорация открыла исходный код библиотеки, хотя техногигант до сих пор использует ее в проектах Search, Gmail, Maps и Docs.

Проблема возникла в момент, когда кто-то решил удалить механизм фильтрования пользовательского ввода. Утверждается, что это было сделано из-за жалоб пользователя на проблемы с интерфейсом.

Брешь возникла 26 сентября 2018 года, а устранить проблему безопасности удалось только 22 февраля 2019 года. Пока неизвестно, кому досталось вознаграждение за обнаруженную уязвимость.

Эксперты LiveOverflow опубликовали видео, на котором демонстрируется наличие XSS в Google Search.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 25 Февраля 2021 - 19:35

Вирусы-вымогатели Вирусы-шифровальщики Домашние пользователи Корпорации

Выход патча Cyberpunk 2077 перенесён на март из-за атаки вымогателя

Компания CD Projekt Red, разрабатывающая популярные видеоигры, сообщила о задержке патча Cyberpunk 2077 под номером 1.2. Причиной стала недавняя атака программы-вымогателя, операторы которой смогли зашифровать системы CD Projekt Red и выкрасть, по их словам, исходный код игровых проектов.

Теперь выход патча Cyberpunk 2077 Patch 1.2, который ждут игроки по всему миру, откладывается до конца марта 2021 года. Об этом разработчики сообщили через официальный аккаунт в Twitter.

«Несмотря на то, что команда хотела выпустить патч Cyberpunk 2077 под номером 1.2 своевременно, мы вынуждены отложить релиз. Недавняя кибератака на ИТ-инфраструктуру не оставила нам выбора — потребуется дополнительное время», — пишут представители CD Projekt Red.

«А тем временем этот патч — результат плодотворной работы, он отличается от всех других апдейтов. Мы поработали над множеством улучшений и подготовили ряд фиксов. Теперь мы рассчитываем выпустить патч во второй половине марта».

Напомним, что в феврале киберпреступники, атаковавшие CD Projekt Red, выставили исходный код крупных игр Cyberpunk 2077 и Ведьмак 3 на аукцион. Начальная цена на тот момент составила один миллион долларов.

Приблизительно в то же время специалисты в области кибербезопасности выяснили, что за атакой на разработчика игр стоит группировка HelloKitty.