• ГлавнаяНовостиНовостиНовости, 202009Новости, 202009 → Опасную «дыру» в своих картах Google смогла заделать со второго раза

    Опасную «дыру» в своих картах Google смогла заделать со второго раза

    XSS-уязвимость в Google Maps была достаточно серьёзной, чтобы Google сразу выплатил обнаружившему её эксперту 5000 долларов, и ещё столько же, когда выяснилось, что первое исправление бесполезно.

    КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

  • Anketka - Мнения, за которые платят деньги.

    LovePlanet - Соцсеть знакомств для веб-мастеров.

    Biglion - Сила коллективных покупок.

    admitad - Сайт партнерских программ и рекламы.

    Miralinks - Рекламная кампания размещения статей для продвижения социальных сетей и сайтов.

    Liex - Биржа статей и ссылок в социальных сетях.

    GoGetLinks - Система размещения платных обзоров со ссылками в социальных сетях и сайтах.

    GetGoodLinks - Ссылки в социальных сетях и сайтах для размещения навсегда.

    Sape - Деньги на привлечении вебмастеров и оптимизаторов.

    Skrill - Сервис перевода денег.

    CPAzilla - Программа заработка на сайтах знакомств.

    1PS - Регистрация сайта в каталогах.

    Link - Реклама на сайтах.

P.c{font-size:75%;text-align:right;}img{border:0;padding:1px;}table{display:table;border-spacing:10px;}td{display:table-cell;padding:10px;vertical-align:top;}input,textarea{border-radius:3px;border:1px solid grey;margin:2px;}/*Обратная связь и подписка - кнопки*/ .buttons{background:#e0ffff;color:#dc143c;font-weight:700;border:1.5px solid black;}

«Баг» картографический

Эксперт по кибербезопасности получил от Google $10 тыс. за XSS-уязвимость, которую он нашёл в Google Maps.

О выявленной им проблеме исследователь по имени Зохар Шачар (Zohar Shachar) сообщил в Google ещё в апреле 2019 г. Спустя несколько недель она была исправлена, но Шачар только сейчас решил опубликовать подробности.

«Баг» затрагивал компонент Google Maps, который обеспечивает пользователям возможность создавать собственные карты. Их можно затем экспортировать в самые разные форматы, в том числе Keyhole Markup Language (KML) - именно он используется для отображения географических данных в Google Earth и похожих приложениях.

Как пишет издание Security Week, анализ показал, что при экспорте карты в формат KML сервер возвращает XML-файл, содержащий, помимо всего прочего, тэг в формате CDATA. Секция CDATA содержит текстовую информацию, которая не отображается браузером. Шачар обнаружил, что может добавить к файлу произвольный XML-контент, который браузер будет отображать. Это означало XSS-уязвимость.

Обнаружившему «дыру» в Google Maps эксперту заплатили $5 тыс. сразу, и еще столько же, когда выяснилось, что первое исправление бесполезно

Для её эксплуатации злоумышленнику потребуется создать новую карту в Google Maps, в название ввести вредоносный XML-код, открыть к ней общий доступ и произвести экспорт в KML, а затем послать ссылку на «карту» потенциальной жертве. При открытии этой карты в браузере атакуемого активируется вредоносный код.

Пять плюс пять тысяч долларов

Google изначально выплатил исследователю $5 тыс., но затем добавил ещё $5 тыс. после того, как Шачар выяснил, что изначальный патч обходится за считанные минуты.

Своим коллегам-исследователям Шачар настойчиво рекомендует перепроверять исправления, - дескать, это окупается.

«Перепроверка действительно окупается, причём для всех вовлечённых сторон, - полагает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - И дело не только в выплатах, но и в «работе над ошибками», которую вендоры не всегда проводят качественно».

Эксперт отметил, что люди, занимающиеся поиском уязвимостей на коммерческой основе, довольно часто, но не регулярно проводят повторные проверки исправлений, выпущенных к выявленным ими уязвимостям. Между тем, это стоило бы сделать штатной процедурой.

/*Спойлер/Accordion - для рубрик*/.accordion [type=checkbox]{display:none;}.accordion ul{list-style:none;}.accordion label{display:block;cursor:pointer;line-height:25px;background:#d95b43;border-radius:5px 10px 0 0;border:1px solid #542437;}.accordion label:hover,.accordion [type=checkbox]:checked ~ label{background:#c02942;color:#fff;}.accordion .rubcontent{height:0;transition:all .1s ease .1s;overflow:hidden;}.accordion [type=checkbox]:checked ~ .rubcontent{height:20%;border:1px solid #542437;padding:1px;}.rubcontent [type=email], .rubcontent [type=submit]{display:block;margin:0 auto;}@media (min-width:801px){/*Рубрики справа*/ .advert{font-size:85%;position:relative;margin-left:83%;margin-right:10px;z-index:5;}/*Мобильное меню - скрыть*/ #mob_menu{display:none;}/*Новости - анонс*/ #phablet td{display:block;}}
ГлавнаяНовостиНовостиНовости, 202009Новости, 202009 → Опасную «дыру» в своих картах Google смогла заделать со второго раза

Windows 10 будет рассказывать пользователям о нововведениях, потому что иначе их не замечают

Microsoft признала, что уделяет недостаточно внимания информированию пользователей Windows 10 об изменениях, которые приносят крупные обновления функциональности операционной системы. Поэтому компания решила внедрить в ОС новое приложение «Советы» (T...

Еврокомиссия призывает страны ЕС ускорить развертывание сетей 5G и разработку суперкомпьютеров

Эпидемия коронавируса показала, насколько важны для современного общества информационные и коммуникационные технологии нового поколения....

Разработчик суперуспешной игры Fortnite пошел войной на Apple и Google. Apple и Google моментально удалили игру из магазинов

Epic Games, разработчик популярной видеоигры Fortnite, подал судебные иски против компаний Apple и Google, обвинив их в монополизации рынка видеоигр. Обе компании удалили возможность скачивания игры через свои магазины....

Депутаты попросили ФАС проверить Apple

Разработчики жалуются на проблемы с регистрацией аккаунта, без которого нельзя поместить приложение в App Store....

Сбербанк заставил клиентов платить за SMS и Push-уведомления о переводах

Сбербанк сделал рассылку SMS-сообщений и Push-уведомлений платной для владельцев обычных дебетовых карт. Стоимость составит от 30 до 60 руб. в месяц. Бесплатной услуга останется только для держателей кредитных и премиальных дебетовых карт. Существует...

[Популярные социальные сети][*Добавить сайт]


Группы: ВК | FB | Tw | OK

Рубрики | КАТАЛОГ | Новости | Контакты |