В почтовой системе Google Gmail обнаружена весьма опасная уязвимость, которая может использоваться злоумышленниками с целью организации XSS-атак (Cross-Site Scripting) на удаленные компьютеры. Проблема связана с неправильной проверкой переменной “zx”. Для реализации нападения достаточно вынудить ж
ртву открыть сформированную особым образом ссылку, обработка которой спровоцирует выполнение вредоносного кода.

Дыра теоретически обеспечивает возможность получения несанкционированного доступа к конфиденциальным данным пользователя, в том числе так называемым файлам “куки” (cookies), которые применяются для хранения персональной информации, например, связанной с аккаунтами жертвы.

Более подробное описание дыры можно найти в этом бюллетене безопасности – http://securitytracker.com/alerts/2004/Nov/1012289.html.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.