مشاهده نسخه کامل
: arkadas
14-10-2005, 00:11
پژوهشگران امنیتی در روز دوشنبه یک آسیب پذیری خطرناک را در سایت گوگل اعلام کردند که باعث حملاتی از نوع سرقت هویت می شود.
ین نقص امنیتی با نام cross-site scripting شناخته می شود و توسط شرکت نرم افزاری Finjan Software در سایت گوگل کشف شده است. آسیب پذیری ذکر شده در دو سرویس Google AdWordsبه ادرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]وسرویس Google Subdomains اعلام شده است و بر طبق گفته کارشناسان امنیت، هر دوی این سایت ها از سیستم Google Accounts به ادرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده می کردند.
این مشکل امنیتی در تاریخ 22 سپتامبر از طرف سرویس امنیتی Finjanبه ادرس[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]به گوگل گزارش شد و شرکت گوگل دو روز بعد مشکل را رفع نمود. سخنگوی گوگل می گوید: " زمانی که ما از وجود این مشکل امنیتی با خبر شدیم در طی دو روز کار به سرعت مشکل را رفع نمودیم و همانطور که مشاهده می کنید هم اکنون هیچ مشکل امنیتی در این سرویس ها وجود ندارد و ما به Finjan آفرین می گوییم که راه درست اعلام آسیب پذیری ها را انتخاب نمود و باعث شد اطلاعات هیچ کاربری در ریسک خطر قرار نگیرد."
Limor Elbaz مسول قسمت نقص یابی و گسترش نرم افزاری شرکت Finjan می گوید: " سایت های Google AdWords و Google Site Services شامل فرم هایی بودند که بدرستی اطلاعات وارد شده را بررسی نمی کردند و باعث می شدند که هکر بتواند با تزریق اطلاعات اشتباه کوکی های کاربران را سرقت کند و به اطلاعات آنها دسترسی پیدا کند."
با وجود فشارهای بسیار به شرکت Finjan این شرکت هیچ اطلاعات دیگری در مورد این آسیب پذیری منتشر ننموده است و می گوید ما فقط برای اثبات این آسیب پذیری برای گوگل کد مخرب آنرا ارسال نمودیم که چگونه می توان با استفاده از URL کوکی های دیگر کاربران را بسرقت برد.
این اولین بار نبود که گوگل در مورد نرم افزار تحت وب خود با مشکل امنیتی مواجه شد. در ماه دسامبر سال گذشته نیز در ابزار desktop search این شرکت مشکل امنیتی خطر سرقت داده ها کشف شد و مشکلی دیگر نیز به همین صورت سرویس Gmail گوگل را آلوده کرده بود.
(Finjan یک شرکت امنیتی می باشد که محصولات نرم افزاری برای پویش سایتها و کشف آسیب پذیری تولید می کند.)
- هم اکنون در تمامی سرویس های گوگل و سایت های SubDomain این مشکل امنیتی بطور کامل رفع شده است.
منبع:websecurity
ین نقص امنیتی با نام cross-site scripting شناخته می شود و توسط شرکت نرم افزاری Finjan Software در سایت گوگل کشف شده است. آسیب پذیری ذکر شده در دو سرویس Google AdWordsبه ادرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]وسرویس Google Subdomains اعلام شده است و بر طبق گفته کارشناسان امنیت، هر دوی این سایت ها از سیستم Google Accounts به ادرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده می کردند.
این مشکل امنیتی در تاریخ 22 سپتامبر از طرف سرویس امنیتی Finjanبه ادرس[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]به گوگل گزارش شد و شرکت گوگل دو روز بعد مشکل را رفع نمود. سخنگوی گوگل می گوید: " زمانی که ما از وجود این مشکل امنیتی با خبر شدیم در طی دو روز کار به سرعت مشکل را رفع نمودیم و همانطور که مشاهده می کنید هم اکنون هیچ مشکل امنیتی در این سرویس ها وجود ندارد و ما به Finjan آفرین می گوییم که راه درست اعلام آسیب پذیری ها را انتخاب نمود و باعث شد اطلاعات هیچ کاربری در ریسک خطر قرار نگیرد."
Limor Elbaz مسول قسمت نقص یابی و گسترش نرم افزاری شرکت Finjan می گوید: " سایت های Google AdWords و Google Site Services شامل فرم هایی بودند که بدرستی اطلاعات وارد شده را بررسی نمی کردند و باعث می شدند که هکر بتواند با تزریق اطلاعات اشتباه کوکی های کاربران را سرقت کند و به اطلاعات آنها دسترسی پیدا کند."
با وجود فشارهای بسیار به شرکت Finjan این شرکت هیچ اطلاعات دیگری در مورد این آسیب پذیری منتشر ننموده است و می گوید ما فقط برای اثبات این آسیب پذیری برای گوگل کد مخرب آنرا ارسال نمودیم که چگونه می توان با استفاده از URL کوکی های دیگر کاربران را بسرقت برد.
این اولین بار نبود که گوگل در مورد نرم افزار تحت وب خود با مشکل امنیتی مواجه شد. در ماه دسامبر سال گذشته نیز در ابزار desktop search این شرکت مشکل امنیتی خطر سرقت داده ها کشف شد و مشکلی دیگر نیز به همین صورت سرویس Gmail گوگل را آلوده کرده بود.
(Finjan یک شرکت امنیتی می باشد که محصولات نرم افزاری برای پویش سایتها و کشف آسیب پذیری تولید می کند.)
- هم اکنون در تمامی سرویس های گوگل و سایت های SubDomain این مشکل امنیتی بطور کامل رفع شده است.
منبع:websecurity