Google пропатчил XSS в Google Maps со второго раза

Google пропатчил XSS в Google Maps со второго раза

Разработчики Google устранили XSS-уязвимость в Google Maps. Об этой проблеме безопасности интернет-гиганту сообщил исследователь через программу поиска уязвимостей, за что получил причитающееся вознаграждение.

Уязвимость в Google Maps описал в своём блоге эксперт Зохар Шачар. Как объяснил специалист, это брешь межсайтового скриптинга, существующая из-за некорректной обработки функций экспорта.

Как известно, сервис от Google позволяет экспортировать карту в различных форматах, один из которых — KML. В нём используется основанная на тегах структура, а его «родителем» является XML.

По словам Шачара, в этом формате карта сохраняется с открытым тегом CDATA. Если добавить туда специальные символы «]]>», можно подсунуть произвольный XML-контент, приводящий к XSS.

Исследователь сразу же сообщил об ошибке представителям Google.

 

Однако разработчикам корпорации не сразу удалось устранить уязвимость. После того, как Google отписался, что уязвимости больше нет, Шачар решил убедиться в этом сам. К своему изумлению, эксперт обнаружил крайне простой способ обхода патча.

За каждый баг исследователь заработал $5 тыс. (в общей сложности — $10 тысяч).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Mozilla устранила баг Firefox, предлагающий перезагрузить Windows

Вышла новая сборка Firefox — 82.0.1. Этот корректирующий выпуск устраняет несколько багов, влияющих на функциональность браузера Mozilla. В частности, разработчики исправили ошибку, из-за которой некоторым пользователям после установки апдейта отображалось сообщение о необходимости перезагрузить Windows, а не Firefox, как это бывает при обычном сценарии.

Как оказалось, данная проблема возникает лишь при использовании полноценного инсталлятора браузера (не заглушки) и только в том случае, когда на машине уже присутствует экземпляр Firefox, а новый сохраняется в другой папке.

Полнофункциональный инсталлятор браузера Mozilla есть далеко не на всех устройствах. К тому же новые версии Firefox обычно загружаются в одно и то же место. По оценке разработчиков, вероятность того, что при обновлении браузер потребует перезагрузить Windows, невелика.

В сборке Firefox 82.0.1 также исправлена известная ошибка, провоцирующая сбой браузера на Windows. Кроме того, решены проблемы с выводом некоторых документов на печать и скорректирована работа интерфейса WebDriver, через который осуществляется удаленное управление агентом пользователя (User Agent).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru