Le White Hat ??? (Loup) vient de lancer une alerte de sécurité après avoir découvert une faille Cross-Site Scripting (XSS) sur un espace utilisateur de Google. N’ayant pas eu de réponse du géant, il a décidé de faire parler de la brèche.
Ce n’est pas la première vulnérabilité découverte au sein d’un espace Google et surement pas la dernière (et oui, personne n’est faillible n’est-ce pas ?). Toutefois, le chercheur en sécurité indépendant reste prudent et refuse d’en dire trop, l’emplacement exacte de la faille sera donc gardé secret et divulgué uniquement à l’équipe de sécurité de Google.
Je me présente, je suis ??? (Loup), je n’ai pas pour habitude de publier sur ce genre de site pour me vanter de tel ou tel exploit, mais j’ai envoyé un courriel à Google pour rectifier la vulnérabilité, et pour réponse, ils m’ont envoyé un mail automatique qui n’avait complètement rien à voir. Je publie cette vulnérabilité (même si je n’en ai pas le droit, c’est pour ça que j’ai tout caché) afin que Google puisse me contacter ET corriger la faille. D’ailleurs je trouve que Google à reçu pleins d’alertes de sécurités en peu de temps !
Ci-dessous, la capture d’écran camouflée fournie par Loup :
La vulnérabilité n’est pas critique d’après les explications de Loup étant donné qu’elle se situerait dans un espace privé dédié uniquement à un utilisateur connecté. Cependant, si une personne malintentionnée a recours au SE (Social Engineering), elle pourrait alors facilement amener sa victime potentielle à tomber dans le piège, ce qui aurait pour conséquence de pouvoir exploiter la XSS.
Pour le contacter, utilisez Twitter : @LoupSecurity.
Yesss
Les commentaires sont fermés.