c.m.g
06-03-2009, 09:43
06 Marzo 2009 ore 08:00 di: Tullio Matteo Fanti
http://www.webnews.it/img/news/news_3b55f7bd325e44d8.jpg
Il servizio Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery in grado di modificare le password degli utenti. La falla, segnalata a Google fin dall'estate del 2008, non è però mai stata presa in seria considerazione
Sulla base di quanto illustrato (http://seclists.org/fulldisclosure/2009/Mar/0029.html) da un ricercatore della Internet Security Auditors (IsecAuditors), Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery (http://en.wikipedia.org/wiki/Cross-site_request_forgery) (CSRF) in grado di modificare le password dei suoi utenti, permettere l'accesso alle email o causare attacchi di tipo denial-of-service (DoS) ai diversi account del servizio. La falla, scoperta da Vicente Aguilera Diaz nel luglio del 2007 e comunicata a Google nel mese successivo, non è mai stata presa in seria considerazione da parte del motore di ricerca poiché considerata scarsamente significativa.
Secondo il resoconto pubblicato dal ricercatore, Gmail sarebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery relativi alla funzionalità "Change Password"; l'accesso alla pagina relativa al cambio della password sarebbe infatti garantito solamente dal cookie di sessione inviato automaticamente al browser. Un utente malintenzionato potrebbe quindi creare una pagina contenente la funzionalità "Change Password" e di conseguenza modificare le chiavi di accesso degli utenti che si sono appena autenticati; l'operazione risulterebbe facilitata dall'utilizzo nella richiesta della funzionalità "Change Password"del metodo HTTP GET al posto del più sicuro e tradizionale metodo POST.
Un cybercriminale potrebbe quindi realizzare una pagina Web contenente al suo interno numerose richieste HTTP GET al metodo "Change Password" e dirottare gli utenti Gmail su tali pagine utilizzando tecniche di social engineering; essendo quest'ultimi già loggati al servizio, risulterà possibile cercare di modificare le loro password, eludendo al contempo le restrizioni imposte dai CAPTCHA. Ulteriori dettagli possono essere ritrovati all'interno del proof-of-concept illustrato per la prima volta dallo stesso Vicente Aguilera Diaz.
Continua su WebNews ====>> (http://www.webnews.it/news/leggi/10283/falla-in-gmail-ma-google-sminuisce/)
Fonte: WebNews (http://www.webnews.it/news/leggi/10283/falla-in-gmail-ma-google-sminuisce/)
http://www.webnews.it/img/news/news_3b55f7bd325e44d8.jpg
Il servizio Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery in grado di modificare le password degli utenti. La falla, segnalata a Google fin dall'estate del 2008, non è però mai stata presa in seria considerazione
Sulla base di quanto illustrato (http://seclists.org/fulldisclosure/2009/Mar/0029.html) da un ricercatore della Internet Security Auditors (IsecAuditors), Gmail risulterebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery (http://en.wikipedia.org/wiki/Cross-site_request_forgery) (CSRF) in grado di modificare le password dei suoi utenti, permettere l'accesso alle email o causare attacchi di tipo denial-of-service (DoS) ai diversi account del servizio. La falla, scoperta da Vicente Aguilera Diaz nel luglio del 2007 e comunicata a Google nel mese successivo, non è mai stata presa in seria considerazione da parte del motore di ricerca poiché considerata scarsamente significativa.
Secondo il resoconto pubblicato dal ricercatore, Gmail sarebbe vulnerabile ad attacchi di tipo Cross-Site Request Forgery relativi alla funzionalità "Change Password"; l'accesso alla pagina relativa al cambio della password sarebbe infatti garantito solamente dal cookie di sessione inviato automaticamente al browser. Un utente malintenzionato potrebbe quindi creare una pagina contenente la funzionalità "Change Password" e di conseguenza modificare le chiavi di accesso degli utenti che si sono appena autenticati; l'operazione risulterebbe facilitata dall'utilizzo nella richiesta della funzionalità "Change Password"del metodo HTTP GET al posto del più sicuro e tradizionale metodo POST.
Un cybercriminale potrebbe quindi realizzare una pagina Web contenente al suo interno numerose richieste HTTP GET al metodo "Change Password" e dirottare gli utenti Gmail su tali pagine utilizzando tecniche di social engineering; essendo quest'ultimi già loggati al servizio, risulterà possibile cercare di modificare le loro password, eludendo al contempo le restrizioni imposte dai CAPTCHA. Ulteriori dettagli possono essere ritrovati all'interno del proof-of-concept illustrato per la prima volta dallo stesso Vicente Aguilera Diaz.
Continua su WebNews ====>> (http://www.webnews.it/news/leggi/10283/falla-in-gmail-ma-google-sminuisce/)
Fonte: WebNews (http://www.webnews.it/news/leggi/10283/falla-in-gmail-ma-google-sminuisce/)