Publicidade

21 de setembro de 2009
seguranca
Ataques e Ameaças

Falha já corrigida no Google Apps permitia acesso a serviços do Google

Por Techworld/Reino Unido

Publicada em 16 de abril de 2008 às 17h55

Londres - Vulnerabilidade que permitia ataques de cross-site scripting (XSS) indica riscos da popularidade do SaaS, diz pesquisador.

Uma falha já corrigida no Google Spreadsheets, a planilha online do Google Apps, permitia o acesso de um crackers a todos os serviços do Google, revelou um pesquisador de segurança nesta quarta-feira (16/04).

A vulnerabilidade viabilizava ataques de cross-site scripting (XSS) e é uma indicação dos riscos que podem acompanhar a grande popularidade do Software como Serviço (SaaS), segundo o pesquisador Billy Rios, que descobriu o problema.

Devido à forma como o Google estrutura seus processos de autenticação, um único ataque XSS pode oferecer acesso a todos os serviços e documentos da empresa, diz Rios. “Só com este XSS, posso fazer tudo que quiser no Google como se fosse você”, explicou o pesquisador em um post.

Os crackers se aproveitam da maneira como o Internet Explorer determina o tipo de conteúdo das respostas de servidores, ignorando o cabeçalho que informa o conteúdo das páginas, em algumas circunstâncias.

Segundo Rios, os navegadores Firefox, Opera e Safari podem ser levados ao mesmo comportamento.

“Os desenvolvedores precisam entender como os browsers lidam com diferentes cabeçalhos de conteúdo ou arriscarão sua aplicação hospedada na web a ataques XSS”, escreveu.

Para consolidar a invasão, Rios injetou um código HTML na primeira cédula de uma tabela, junto com um Javascript voltado a mostrar o cookie do usuário. O IE então renderizou o conteúdo como HTML, permitindo que o cookie fosse visualizado.

Em algumas semanas, o Google permitirá que os usuários visualizem e editem documentos do Google Apps também offline.

Matthew Broersma, editor do Techworld, de Londres

OPINIÃO DO LEITOR
Não há comentários para essa notícia
Seja o primeiro a comentar

Top5MAIS LIDAS
DO DIA
Golpes na rede social

Golpes na rede social

5 ameaças que você deve evitar nas redes sociais Facebook e Twitter.

Celular zumbi

Celular zumbi

Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.

Da pescaria de senhas aos espiões de namoradas

Da pescaria de senhas aos espiões de namoradas

Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.

anterior   próxima
Galeria de fotoscarregando...
IDG Now! Widget

Baixe o Now! Reader e confira em seu desktop as últimas notícias, álbuns e outros conteúdos do IDG Now!

IDG Now! Reader
Blog
Guia de Contratação para a Profissão de Segurança da Informação
Enterprise Workload Automation com Scheduling Dinâmico
Você sabe quais os principais problemas encontrados nas redes de pequenas e médias empresas?
Prevenção completa contra perda de dados
Segurança da informação como estratégia para inovação dos negócios
Sete tipos de problemas com No-Break
Modelo de eficiência elétrica em centros de dados
Implementação de data centers eficientes em termos de energia
Licenciamento
Veja como utilizar o conteúdo do site líder em notícias sobre tecnologia a seu favor.