V Gmail chyba sprístupňujúca útočníkovi cudzie emaily

DSL.sk, 27.9.2007

V populárnej webmailovej službe Gmail od spoločnosti Google sa nachádza bezpečnostná chyba, ktorá umožňuje útočníkovi sprístupniť emaily na cudzích účtoch.

Chybu oznámil Petko D. Petkov, ktorý len pred niekoľkými dňami oznámil aj extrémne vážnu chybu v spracovaní PDF na Windows, špeciálne Adobe Readerom.

Chyba v prípade Gmailu je typu cross-site request forgery, CSRF. Ak je užívateľ prihlásený k Gmailu a v rovnakom prehliadači otvorí ľubovoľnú útočníkom podvrhnutú stránku, táto dokáže hneď po otvorení s autentifikáciou užívateľa odoslať skryte na Gmail napríklad POST formulár, ktorý dokáže užívateľovi pridať nový filter.

Či je na chybu CSRF zraniteľný len tento formulár alebo aj niektoré ďalšie vykonávajúce dôležité akcie Petkov neoznámil.

V prípade tohto formulára ale útočníkom podvrhnutá ľubovoľná stránka na Internete dokáže pridať svojim návštevníkom, ktorí sú prihlásení v tom čase aj do Gmailu, filter, ktorý začne odosielať ich emaily na adresu pod kontrolou útočníka. Keďže väčšina užívateľov filtre nepoužíva, u veľa z nich zostane útočníkom vložený filter nepovšimnutý.

Petkov informoval o chybe tu.

Podobne ako v prípade chyby v PDF samozrejme keďže zatiaľ nebola opravená nezverejnil detaily a chybu tak nie je možné s určitosťou potvrdiť. Petkov ale napríklad identifikoval aj kritickú chybu vo Firefoxe, pre ktorú bol vydaný nový Firefox 2.0.0.7 a tak sa jeho informácie vo všeobecnosti považujú za dôveryhodné.


Najnovšie články:



Diskusia:

Roman Od: Roman | Pridané: 27.9.2007 11:43 Chybka - v gmaili (v stroji) alebo v gmaile (v dube), teraz neviem, ktore je spravne, ale urcite nie v gmaily. Odpovedať Hodnotiť:

Jazyková redakcia dsl.sk Od: Jazyková redakcia dsl.sk | Pridané: 27.9.2007 13:06 prehliači? Odpovedať Hodnotiť:

Bozz Od: Bozz | Pridané: 27.9.2007 17:48 Uvidime čo na to Bozz. Odpovedať Hodnotiť:

Petkov D. Petko Od: Petkov D. Petko | Pridané: 27.9.2007 12:03 Peťko je buď mimozemšťan alebo Vesmírny lid. Čo on vôbec robí??? Podľa mňa normálne zvýšľajúci človek na toto by nemal vôbec čas. Odpovedať Hodnotiť:

Dedko P. Dedkov Od: Dedko P. Dedkov | Pridané: 27.9.2007 13:08 Money money money ... Odpovedať Hodnotiť:

Klix Od: Klix | Pridané: 27.9.2007 14:10 Presne. Ten typek za kazdu jednu objavenu chybu moze mat tolko penazi, ze to nezarobis za neviem kolko normalnou pracou. Odpovedať Hodnotiť:

Giany Od: Giany | Pridané: 27.9.2007 12:20 ja si Gmail aj tak neotvaram v prehliadaci...na maily mam Thunderbird k tomu prvemu komentu: kde vidis slovo Gmaily? ja vidim len emaily - koho? co? duby...koho co emaily Odpovedať Hodnotiť:

Giany Od: Giany | Pridané: 27.9.2007 12:23 cize sa mi nemoze stat, ze otvorim gmail a podvrhnutu stranku v tom istom prehliadaci :-* cmuq Odpovedať Hodnotiť:

piXus Od: piXus | Pridané: 27.9.2007 13:06 ako dobre, ze si jediny, kto ho pouziva... Odpovedať Hodnotiť:

tom Od: tom | Pridané: 27.9.2007 17:04 ..."podvrhnutú stránku" odhalí Opera okamžite - ak je niekto blbec a G-mailuje zároveň s hľadaním porna... Odpovedať Hodnotiť:

Peter Od: Peter | Pridané: 27.9.2007 12:22 Petko D. Petkov :-) Odpovedať Hodnotiť:

Petko D. Petkov Od: Petko D. Petkov | Pridané: 27.9.2007 12:47 na spominanu chybu som prisiel pri citani Bozzovych prispevkov na dsl.sk Odpovedať Hodnotiť:

xalo Od: xalo | Pridané: 27.9.2007 13:04 Skvela praca, PDP. Odpovedať Hodnotiť:

Dedko P. Dedkov Od: Dedko P. Dedkov | Pridané: 27.9.2007 13:05 aj ty? Odpovedať Hodnotiť:

Giany Od: Giany | Pridané: 27.9.2007 13:12 Rofl nick :D Odpovedať Hodnotiť:

Gyrxiur Od: Gyrxiur | Pridané: 27.9.2007 17:56 Pouzivam firefox + noscript - cize cross-site je blokovany... Odpovedať Hodnotiť:

pete Od: pete | Pridané: 27.9.2007 20:06 to nemusi a v tomto pripade to nie je zrejme pravda, ide to aj bez js Odpovedať Hodnotiť:

Ramirez Od: Ramirez | Pridané: 28.9.2007 0:35 Ja pouzivam didactic gama.... co to microsoft a co toje ten eemajl kua Odpovedať Hodnotiť:

Mirarež Od: Mirarež | Pridané: 28.9.2007 11:56 didaktik Odpovedať Hodnotiť:

Šľapkomer Od: Šľapkomer | Pridané: 28.9.2007 19:58 píšeme didactic , čítame dthayjjdaktighhh Odpovedať Hodnotiť:

Mirage Od: Mirage | Pridané: 29.9.2007 0:34 aha Odpovedať Hodnotiť:

Lenin Od: Lenin | Pridané: 29.9.2007 9:46 Učiť sa Učiť sa Učiť sa ! Odpovedať Hodnotiť:

Stalin Od: Stalin | Pridané: 29.9.2007 12:04 Zabiť, zabiť, zabiť!!! Odpovedať Hodnotiť:

Lenin Od: Lenin | Pridané: 30.9.2007 9:36 zabudol si tam dať zvratne zameno "sa" Odpovedať Hodnotiť:

Stalin Od: Stalin | Pridané: 30.9.2007 12:30 Ty syfilitik mi do toho budeš kecať? Keď, tak "ťa"!!! Odpovedať Hodnotiť:

milos Od: milos | Pridané: 29.9.2007 20:12 pre somarou a lamy Gmail je internetova postova stranka google kam sa mozete zaregistrovat len ked vas tam niekto pozve a ma neobmedzenu velkost E-mail je postova sprava ktora vam chodi do vasich ubohych niekolko desiatok mb velkych schranok na rvoznych serveroch centrum zoznam pobox a podobne Odpovedať Hodnotiť:

supersmrad Od: supersmrad | Pridané: 30.9.2007 11:26 nemas pravdu, do gmailu sa uz moze registrovat ktokolvek Odpovedať Hodnotiť:

Pridať komentár