Andrea Draghetti aka Drego. I analyze and contrast the Phishing at D3Lab and I'm team member of BackBox Linux! PhishingArmy and meioc is my projects!

Dannoso Google Gadgets in Azione

28 sec read

Un nuovo advisory di Emanuele Gentili mostra un dannoso “Google Gadget” in azione. La vulnerabilità risiede nella reale capacità di un utente malintenzionato di aggiungere gadget personalizzati su uno spazio di dominio separato, senza l’autorizzazione di Google.

La variante di attacco mostrato nel filmato può essere alterata per rubare i cookie, eseguire JavaScript arbitrario sul computer “vittima”, e potrebbe essere ulteriormente utilizzato per creare malware worm Google Gadget.
Sulla ricerca di questo argomento, abbiamo trovato riferimenti analoghi sulla stessa vulnerabilità che risalgono al 2007, riportato da Tom Stracener e Robert Hansen.

Anche se l’infrastruttura di Google è cambiata dal 2007, sembra che questa nuova variante di attacco sia ancora possibile.

Emgent scrisse un email a Google più di un mese fa ed è rimasta senza risposta.

La soluzione? Vigilanza ai massimi livelli .

Fonte

Andrea Draghetti aka Drego. I analyze and contrast the Phishing at D3Lab and I'm team member of BackBox Linux! PhishingArmy and meioc is my projects!

Lascia un commento

Rispondi

  Subscribe  
Notificami