Passez sur notre nouveau site : http://www.donnemoilinfo.com
Passez sur notre nouveau site : http://www.donnemoilinfo.com
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.
Ce forum n'est plus mis à jour, passez sur notre site http://www.donnemoilinfo.com/
Pour des raisons de confidentialité tous les comptes ont été supprimés.
Sujet: Failles : Services Google affectés par 4 failles Mar 25 Sep 2007, 05:33
Ce 24.09.2007
Des trous dans Google
4 vulnérabilités sérieuses rapportées pour des services Google. Près de 196 000 sites web affectés, et vos email Gmail se retrouvent dans la main de pirates informatiques.
Google, à force de lancer une multitude de nouveaux services, serait-il en train de perdre le sens de la sécurité de ces produits et de la protection de ses utilisateurs ? En l'espace de 4 jours, 4 vulnérabilités majeures ont été rapportées pour des services Google. La forêt se cacherait-elle derrière l'arbre?
Des chercheurs en sécurité informatique ont rapportés, le 20 septembre 2007, une vulnérabilité du type cross-site scripting (XSS) dans l'application Google Search, un service que chaque site peut utiliser pour lancer des recherches sur Google, tous en gardant l'URL source du site web visible. Ce qui représente pas moins de 196 000 sites vulnérables à cette attaque, dont un certain nombre de sites web français connus.
Le 24 septembre 2007, d'autres chercheurs en sécurité informatique, heureux d'accéder en tant que contributeurs au "Black Hat Japan", ont décidés de divulguer les détails d'un exploit visant Picasa, un logiciel de la suite Google qui permet de gérer ses albums photos et de les partager en ligne. La vulnérabilité viendrait d'une erreur d'implémentation URI (voir la vulnérabilité URI Second Life, Firefox, Windows et d'autres alertes basées sur cette implémentation qui fait beaucoup parler d'elle). Cette vulnérabilité Picassa peut permettre à des internautes malveillant de dérober des photos privées d'autres utilisateurs Picasa par le biais d'un appel à une URI "picasa://" manipulée sous Windows. Un gros problème de confidentialité pour quelques milliers d'utilisateurs de ce logiciel.
Ce même 24 septembre 2007, un autre féru de sécurité informatique, révélait une vulnérabilité, encore plus sérieuse, du type XSS dans le système de vote Blogspot, présent par exemple dans Gmail et sur beaucoup de blogs. Une des exploitations possible de cette vulnérabilité serait, par exemple, de transférer tous vos nouveaux email vers le compte de l'internaute malveillant, et tous cela de façon automatique, simplement en vous identifiant dans votre compte Gmail.
Et de nouveau ce 24 septembre 2007, une autre vulnérabilité, cette fois-ci dans Urchin, utilisé par Google Analystics, peut permettre de dérober les identifiants des internautes utilisants ce service, par le biais d'une vulnérabilité XSS.
Google va sûrement corriger ces vulnérabilités très rapidement, mais il n'est pas habituel de voir Google sous les projecteurs au niveau des vulnérabilités informatiques. Espérons que ce n'est qu'un passage à vide des développeurs de Google.
Source : Zataz
boule Membre aide
OS : XP Navigateur :
Pays : Messages postés : 8781 Votes reçus : 164
Sujet: Falilles Google (Google Docs, Gmail ..) Jeu 27 Sep 2007, 07:10
Ce 26.09.2007
Google le géant aux pieds d'argile ?
Une nouvelle vulnérabilité dans un des services Google, Google Docs, permet de récupérer tous vos contacts, email, ainsi que vos autres données stockées par le biais d'un flash malveillant.
Et une de plus. Après les quatre vulnérabilités sur différents services Google annoncées en début de semaine ; Après la vulnérabilité Gmail rapportée hier, voilà une nouvelle faille dévoilée dans le service Google Docs.
Billy (BK) Rios, qui a déjà prouvé un vulnérabilité pour le logiciel de traitement et de partage de photo Picasa de Google, nous dévoile aujourd'hui qu'un simple objet flash pourrait permettre de récupérer la totalité de vos données stockées par le service Google, email, bookmark, carnet d'adresse, …
Google Docs vous permet de télécharger des documents sur un serveur Google. Une fois que vous avez téléchargé le document, Google prend la main sur ce dernier et s'assure qu'aucune élément à l'intérieur de celui-ci ne permet de mettre en danger la sécurité du service. Mais il semblerait que les développeurs de Google aient oublié une énorme vulnérabilité que la rédaction de a pu tester !
Google docs dangereux !
Le PoC développé par Billy (BK) Rios, se limite à récupérer uniquement votre carnet d'adresse, mais il a la possibilité de récupérer toutes informations stockées dans les services Google. Le lecteur flash (dont la version est supérieure à 7.0.19.0) supporte une nouvelle méthode permettant d'effectuer des requêtes "cross domain". Cette méthode permet à un utilisateur (ou un internaute malveillant) de spécifié où un fichier crossdomain.xml est situé (dans notre cas stocké sur Google Docs).
Si le lecteur flash trouve ce fichier (Google Docs permet de rendre publique les fichiers), ce lecteur va autoriser des requêtes "cross domain" vers le domaine à qui appartient le fichier (dans notre cas Google.com). A partir de ce moment le lecteur flash a accès à toutes les informations se trouvant sur le serveur distant (donc toutes les informations que vous stockés sur les services Google) et peut permettre à un pirate de les récupérer.
Les chercheurs en sécurité informatique ont l'air d'avoir pris pour cible la sécurité de Google, qui en grattant un peu, apparaît des plus faibles. Serait-ce le début d'un "Google Month Bug" ?
En attendant, la rédaction de s'étonne de ne voir aucun autre média reprendre ces informations. Ces failles mettent en danger des millions d'internautes dans une indifférence la plus totale.
