Google латает "дыры" в Gmail
Обнаруженная несколько дней назад уязвимость позволяла украсть контакт лист целевого пользователя, посетившего специально сформированную Web-страницу. Уязвимость связана с тем, что список контактов хранился в javascript коде, который мог быть вызван произвольным сайтом. GMail не проверял, какой сайт вызывал уязвимую функцию, в результате произвольный Web-сайт мог прочитать список контактов целевого пользователя. Единственное условие для эксплуатации уязвимости заключалось в том, что пользователь должен в момент эксплуатации иметь активную сессию в GMail. "Заплатка" - PoC-код (прим. Ред. - Point Of Contact - порт захода) был опубликован 1-го января, и Google потребовалось более 30 часов для устранения обнаруженной уязвимости, сообщает SecurityLab. |