Google пропатчил XSS в Google Maps со второго раза

Google пропатчил XSS в Google Maps со второго раза

Разработчики Google устранили XSS-уязвимость в Google Maps. Об этой проблеме безопасности интернет-гиганту сообщил исследователь через программу поиска уязвимостей, за что получил причитающееся вознаграждение.

Уязвимость в Google Maps описал в своём блоге эксперт Зохар Шачар. Как объяснил специалист, это брешь межсайтового скриптинга, существующая из-за некорректной обработки функций экспорта.

Как известно, сервис от Google позволяет экспортировать карту в различных форматах, один из которых — KML. В нём используется основанная на тегах структура, а его «родителем» является XML.

По словам Шачара, в этом формате карта сохраняется с открытым тегом CDATA. Если добавить туда специальные символы «]]>», можно подсунуть произвольный XML-контент, приводящий к XSS.

Исследователь сразу же сообщил об ошибке представителям Google.

 

Однако разработчикам корпорации не сразу удалось устранить уязвимость. После того, как Google отписался, что уязвимости больше нет, Шачар решил убедиться в этом сам. К своему изумлению, эксперт обнаружил крайне простой способ обхода патча.

За каждый баг исследователь заработал $5 тыс. (в общей сложности — $10 тысяч).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ПАК «Рутокен» сертифицирован ФСТЭК России по 4 уровню доверия

Успешно завершены испытания программно-аппаратного комплекса аутентификации и хранения информации Рутокен версии 4. В ходе испытаний установлено, что ПАК «Рутокен», разработанный компанией «Актив», соответствует самому высокому уровню доверия для защиты конфиденциальной информации - четвертому.  Сертификация прошла на соответствие требованиям технических условий и руководящих документов по УД4.

ПАК «Рутокен» - первое средство защиты в своём классе, получившее сертификат соответствия согласно Приказу ФСТЭК России от 30 июля 2018 г. №131 и утвержденным им «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», вступившим в силу с 1 июня 2019 г.

Обновленный сертификат действителен для следующих моделей токенов и смарт-карт Рутокен:

Сертификат подтверждает возможность использовать ПАК «Рутокен» в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса, обрабатывающих информацию ограниченного доступа, в том числе персональные данные, служебную, коммерческую и иные виды конфиденциальной информации.

На данный момент проводятся испытания для продления срока действия данного сертификата до 30 мая 2025 года.

Компания «Актив» информирует о продолжении реализации ПАК «Рутокен», сертифицированных в ФСТЭК России и произведенных до 30 мая 2020 года. Такие устройства можно реализовывать после окончания срока действия сертификата ФСТЭК России. Решения, которые находятся в реестре ФСТЭК России как сертифицированные средства и произведены в период действия сертификата, могут реализовываться после завершения срока действия сертификата ФСТЭК России. Эксплуатация ПАК «Рутокен» разрешена до окончания заявленного срока технической поддержки – 30 мая 2025 года.

«Актив» - первая компания среди производителей аппаратных средств аутентификации, кто получил подобный сертификат. Четвертый уровень доверия  – самый высокий уровень доверия к средствам технической защиты конфиденциальной информации и средствам обеспечения безопасности информационных технологий. Мы наращиваем инвестиции в развитие наших сертифицированных решений. Думаю, что этот сертификат будет полезен многим нашим партнерам и клиентам», - уверен Дмитрий Горелов, коммерческий директор компании «Актив».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru