Van úgy, hogy az ember úgy érzi, a világ összeesküdött ellene. A Google esetében ez mostanában valószínűleg több mint egyszerű paranoia.
Billy Rios a trükkös Picasa sebezhetőség után most egy pofonegyszerű ötlettel rukkolt elő: Az újabb Flash Playerek megengedik, hogy az ún. crossdomain.xml fájl helyét egy külső szerveren definiáljuk. Ekkor a lejátszó feltételezi, hogy az a domain, melyen a fájlt találta, cross domain kéréseken keresztül hozzáférhető a számára. Nincs tehát más dolgunk, mint egy megfelelően formázott crossdomain.xml-t feltölteni a Google Docs-ba, és készíteni egy ügyes Flash animációt, ami ezt az XML-t olvassa, innentől kezdve pedig már beármit bűvészkedhetünk az animációt megtekintő felhasználók Google Fiókjával.
Petko Petkov egyelőre részletek nélkül említett egy, a befordéhoz nagyon hasonló CSRF sebezhetőséget, melynek segítségével a Gmail felhasználók e-mail forgalma eltéríthető egy gonoszul megformázott weboldal segítségével. Amíg nem készül el a javítás, érdemes a szűrőbeállításainkat gyakran ellenőrizni!
Billy Rios a trükkös Picasa sebezhetőség után most egy pofonegyszerű ötlettel rukkolt elő: Az újabb Flash Playerek megengedik, hogy az ún. crossdomain.xml fájl helyét egy külső szerveren definiáljuk. Ekkor a lejátszó feltételezi, hogy az a domain, melyen a fájlt találta, cross domain kéréseken keresztül hozzáférhető a számára. Nincs tehát más dolgunk, mint egy megfelelően formázott crossdomain.xml-t feltölteni a Google Docs-ba, és készíteni egy ügyes Flash animációt, ami ezt az XML-t olvassa, innentől kezdve pedig már beármit bűvészkedhetünk az animációt megtekintő felhasználók Google Fiókjával.
Petko Petkov egyelőre részletek nélkül említett egy, a befordéhoz nagyon hasonló CSRF sebezhetőséget, melynek segítségével a Gmail felhasználók e-mail forgalma eltéríthető egy gonoszul megformázott weboldal segítségével. Amíg nem készül el a javítás, érdemes a szűrőbeállításainkat gyakran ellenőrizni!
