Google – Une faille XSS non corrigée traîne sur le Web

1

Le White Hat ??? (Loup) vient de lancer une alerte de sécurité après avoir découvert une faille Cross-Site Scripting (XSS) sur un espace utilisateur de Google. N’ayant pas eu de réponse du géant, il a décidé de faire parler de la brèche.

Ce n’est pas la première vulnérabilité découverte au sein d’un espace Google et surement pas la dernière (et oui, personne n’est faillible n’est-ce pas ?). Toutefois, le chercheur en sécurité indépendant reste prudent et refuse d’en dire trop, l’emplacement exacte de la faille sera donc gardé secret et divulgué uniquement à l’équipe de sécurité de Google.

Je me présente, je suis ??? (Loup), je n’ai pas pour habitude de publier sur ce genre de site pour me vanter de tel ou tel exploit, mais j’ai envoyé un courriel à Google pour rectifier la vulnérabilité, et pour réponse, ils m’ont envoyé un mail automatique qui n’avait complètement rien à voir. Je publie cette vulnérabilité (même si je n’en ai pas le droit, c’est pour ça que j’ai tout caché) afin que Google puisse me contacter ET corriger la faille. D’ailleurs je trouve que Google à reçu pleins d’alertes de sécurités en peu de temps !

Ci-dessous, la capture d’écran camouflée fournie par Loup :

google-xssed

La vulnérabilité n’est pas critique d’après les explications de Loup étant donné qu’elle se situerait dans un espace privé dédié uniquement à un utilisateur connecté. Cependant, si une personne malintentionnée a recours au SE (Social Engineering), elle pourrait alors facilement amener sa victime potentielle à tomber dans le piège, ce qui aurait pour conséquence de pouvoir exploiter la XSS.

Pour le contacter, utilisez Twitter : @LoupSecurity.

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.