Gå till innehåll
brainslicer

Gmail-sårbarhet

Recommended Posts

http://sakerhet.idg.se/2.1070/1.216174/google-ignorerar-gmail-sarbarhet

 

Frustrerade säkerhetsforskare har publicerat detaljer om en Gmail-sårbarhet efter ett och halvt års fruktlös brevväxling med Google, som inte anser att sårbarheten behöver åtgärdas.

 

Säkerhetsforskaren Vicente Aguilera Diaz upptäckte den 30 juli 2007 en sårbarhet i den Gmail-funktion som låter användare ändra lösenord. Sårbarheten öppnar för angrepp via metoden cross-site-request-forgery och möjliggör för angripare att både kontrollera och ändra de lösenord som är kopplade till Gmail-konton.

 

Den 3 mars detta år har Isecauditor därför publicerat en så kallad proof-of-concept, en detaljerad beskrivning av sårbarheten, tillsammans med den kod som visar hur attacken kan genomföras.

 

Lyckas angreppet är det möjligt för en angripare att antingen passivt ta reda på offrets lösenord eller aktivt ändra det till ett eget godtyckligt val.

Länk till Gmail proof-of-concept

Källa: Seclists.org

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

verkar inte va lätt att använda(3/5 på severity skalan), men koden ligger ju ute nu så man får väl vara medveten om det iaf...

 

http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=215800241

 

A Google spokesperson said the company hasn't heard of any such attacks in the wild, but is looking at ways to mitigate abuse of the CSRF flaw. "We've been aware of this report for some time, and we do not consider this case to be a significant vulnerability, since a successful exploit would require correctly guessing a user's password within the period that the user is visiting a potential attacker's site," the spokesperson said. "Despite the very low chance of guessing a password in this way, we will explore ways to further mitigate the issue. We always encourage users to choose strong passwords, and we have an indicator to help them do this."

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc.

 

Hushmail? Används det inte av personer som vill ha betalt med e-gold eller och sånt? :roll:

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Kanns som att manga seriosa pokerspelare har sina pokeraccounts kopplade till Hushmail-account som dem bara har till poker etc.

Jag har inte det. Berätta mer... Vad är fördelen med det gentemot exempelvis gmail?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Registrera ett nytt konto i våran gemenskap. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu

×