Se lasciata irrisolta la vulnerabilità coss-site scripting (XSS) avrebbe permesso ad aggressori remoti di modificare documenti e fogli di calcolo altrui gestiti attraverso i servizi web messi a disposizione da Google.
Philipp Lenssen, autore della scoperta, ha dichiarato: “la falla di sicurezza è direttamente correlata con un aggiornamento effettuato su di uno specifico servizio di Google che non implementa le difese necessarie contro l’aggiunta di codice da remoto”. Secondo Lenssen la lacuna nella fase di programmazione sarebbe molto simile ad un altro problema messo a nudo lo scorso fine settimana da un altro esperto e prontamente risolto dai tecnici di Mountain View.
In quel caso, l’autore della scoperta dimostrò come, creando una pagina web in hosting sul dominio google.com, potesse impadronirsi dei dati memorizzati nel cookie di autenticazione per l’accesso ai servizi del motore di ricerca. Invitando un utente a visitare uno specifico indirizzo era quindi possibile prendere possesso delle credenziali di accesso ai servizi di Google.
La vulnerabilità segnalata da Lenssen è probabilmente ancor più pericolosa: facendo leva su un particolare codice JavaScript sarebbe stato possibile trasmettere i dati “rubati” anche verso siti web esterni al dominio google.com.
I portavoce di Google confermano di aver tempestivamente risolto tutte le vulnerabilità al momento conosciute e di non essere a conoscenza di alcun incidente che abbia coinvolto le due più recenti falle.
L’azienda invita altresì tutti gli esperti a seguire una condotta responsabile segnalando eventuali problemi riscontrati direttamente alla società di Mountain View evitando di rendere pubblici dettagli tecnici che potrebbero essere utilizzati per mettere a punto codici nocivi.
Google sistema due pericolose vulnerabilità di sicurezza
Se lasciata irrisolta la vulnerabilità coss-site scripting (XSS) avrebbe permesso ad aggressori remoti di modificare documenti e fogli di calcolo altrui gestiti attraverso i servizi web messi a disposizione da Google.