Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Még két pofon a Google-nek

2007.09.26. 11:31 | buherator | Szólj hozzá!

Van úgy, hogy az ember úgy érzi, a világ összeesküdött ellene. A Google esetében ez mostanában valószínűleg több mint egyszerű paranoia.

Billy Rios a trükkös Picasa sebezhetőség után most egy pofonegyszerű ötlettel rukkolt elő: Az újabb Flash Playerek megengedik, hogy az ún. crossdomain.xml fájl helyét egy külső szerveren definiáljuk. Ekkor a lejátszó feltételezi, hogy az a domain, melyen a fájlt találta, cross domain kéréseken keresztül hozzáférhető a számára. Nincs tehát más dolgunk, mint egy megfelelően formázott crossdomain.xml-t feltölteni a Google Docs-ba, és készíteni egy ügyes Flash animációt, ami ezt az XML-t olvassa, innentől kezdve pedig már beármit bűvészkedhetünk az animációt megtekintő felhasználók Google Fiókjával.

Petko Petkov egyelőre részletek nélkül említett egy, a befordéhoz nagyon hasonló CSRF sebezhetőséget, melynek segítségével a Gmail felhasználók e-mail forgalma eltéríthető egy gonoszul megformázott weboldal segítségével. Amíg nem készül el a javítás, érdemes a szűrőbeállításainkat gyakran ellenőrizni!

Címkék: google flash csrf

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.