• ГлавнаяНовостиНовостиНовости, 202009Новости, 202009 → Опасную «дыру» в своих картах Google смогла заделать со второго раза

      Опасную «дыру» в своих картах Google смогла заделать со второго раза

      XSS-уязвимость в Google Maps была достаточно серьёзной, чтобы Google сразу выплатил обнаружившему её эксперту 5000 долларов, и ещё столько же, когда выяснилось, что первое исправление бесполезно.

      КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;border-radius:4px;transition:0.4s;}.buttons:hover {background-color:#4CAF50;color:white;box-shadow:0 12px 16px 0 rgba(0,0,0,0.24), 0 17px 50px 0 rgba(0,0,0,0.19);cursor:pointer;}

«Баг» картографический

Эксперт по кибербезопасности получил от Google $10 тыс. за XSS-уязвимость, которую он нашёл в Google Maps.

О выявленной им проблеме исследователь по имени Зохар Шачар (Zohar Shachar) сообщил в Google ещё в апреле 2019 г. Спустя несколько недель она была исправлена, но Шачар только сейчас решил опубликовать подробности.

«Баг» затрагивал компонент Google Maps, который обеспечивает пользователям возможность создавать собственные карты. Их можно затем экспортировать в самые разные форматы, в том числе Keyhole Markup Language (KML) - именно он используется для отображения географических данных в Google Earth и похожих приложениях.

Как пишет издание Security Week, анализ показал, что при экспорте карты в формат KML сервер возвращает XML-файл, содержащий, помимо всего прочего, тэг в формате CDATA. Секция CDATA содержит текстовую информацию, которая не отображается браузером. Шачар обнаружил, что может добавить к файлу произвольный XML-контент, который браузер будет отображать. Это означало XSS-уязвимость.

Обнаружившему «дыру» в Google Maps эксперту заплатили $5 тыс. сразу, и еще столько же, когда выяснилось, что первое исправление бесполезно

Для её эксплуатации злоумышленнику потребуется создать новую карту в Google Maps, в название ввести вредоносный XML-код, открыть к ней общий доступ и произвести экспорт в KML, а затем послать ссылку на «карту» потенциальной жертве. При открытии этой карты в браузере атакуемого активируется вредоносный код.

Пять плюс пять тысяч долларов

Google изначально выплатил исследователю $5 тыс., но затем добавил ещё $5 тыс. после того, как Шачар выяснил, что изначальный патч обходится за считанные минуты.

Своим коллегам-исследователям Шачар настойчиво рекомендует перепроверять исправления, - дескать, это окупается.

«Перепроверка действительно окупается, причём для всех вовлечённых сторон, - полагает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - И дело не только в выплатах, но и в «работе над ошибками», которую вендоры не всегда проводят качественно».

Эксперт отметил, что люди, занимающиеся поиском уязвимостей на коммерческой основе, довольно часто, но не регулярно проводят повторные проверки исправлений, выпущенных к выявленным ими уязвимостям. Между тем, это стоило бы сделать штатной процедурой.

Flash окончательно изгонят из Windows. Пути назад больше нет

Microsoft выпустит обязательное крупное обновление 21H1 для Windows 10, которое принудительно удалит с компьютеров Flash Player. Отказаться от установки патчей нельзя – в системе отключена возможность блокировки автоматического обновления....

IDC: в 2020 году рост российского ИТ-рынка составил 14%

19:08 03.05.2021 |-nbsp;-nbsp; 474 ...

Стартап экс-замминистра связи создаст электротакси вместе с Uber

Uber и компания Arrival, созданная экс-замминистра связи Денисом Свердловым, разработают электротакси для пассажирских перевозок. Автомобиль будет создан с учетом потребностей водителей, проводящих большую часть жизни за рулем, но и про комфорт пасса...

«Яндекс» договорился о покупке банка

20:53 29.04.2021 |-nbsp;-nbsp; 2189 ...

Легендарная Yahoo продается за бесценок

Телеком-гигант Verizon продает пионеров американского интернета Yahoo и AOL за $5 млрд. Их он купил в 2017 г. и 2015 г. соответственно в сумме более чем за $9 млрд, и в итоге он продает их на $4,1 млрд дешевле. Прибыли эти компании ему не принесли – ...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК|Fb|Tw|OK

Рубрики | Каталог | Новости | Контакты |
/*Выпадайка (простая) - для рубрик справа/внизу*/.advert ul, .content ul{list-style:none;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:1px auto;}.rubcontent{display:block;line-height:25px;border-radius:5px 10px 0 0;border:1px solid #542437;}.cd-accordion-menu li, .list_menu_compact li, .cd-accordion-menu_ya-share2 li{padding:0;margin-left:20px;}.hidden, .cd-accordion-menu ul, .hidden:checked + label .equiv{display:none;}.hidden:checked + label + ul, .hidden:checked + label .trigramma{display:inline;}/*Карта сайта - свернуть/развернуть: ВСЕ - пока не все работает#checkbox_menu_all:checked + label + .cd-accordion-menu li ul{display:inline;}#checkbox_menu_all:checked + label + .cd-accordion-menu{display:none;}#checkbox_menu_all:checked + label + .cd-accordion-menu + .cd-accordion-menu_ya-share2{display:none;}*/@media (min-width:801px){/*Моб.меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202009Новости, 202009 → Опасную «дыру» в своих картах Google смогла заделать со второго раза