Dannoso Google Gadgets in Azione

Un nuovo advisory di Emanuele Gentili mostra un dannoso “Google Gadget” in azione. La vulnerabilità risiede nella reale capacità di un utente malintenzionato di aggiungere gadget personalizzati su uno spazio di dominio separato, senza l’autorizzazione di Google.

La variante di attacco mostrato nel filmato può essere alterata per rubare i cookie, eseguire JavaScript arbitrario sul computer “vittima”, e potrebbe essere ulteriormente utilizzato per creare malware worm Google Gadget.
Sulla ricerca di questo argomento, abbiamo trovato riferimenti analoghi sulla stessa vulnerabilità che risalgono al 2007, riportato da Tom Stracener e Robert Hansen.

Anche se l’infrastruttura di Google è cambiata dal 2007, sembra che questa nuova variante di attacco sia ancora possibile.

Emgent scrisse un email a Google più di un mese fa ed è rimasta senza risposta.

La soluzione? Vigilanza ai massimi livelli .

Fonte