- Регистрация
- 31.07.13
- Сообщения
- 366
- Реакции
- 513
- Депозит
- 0
- Покупок
-
0
- Продаж
-
7
Обратите внимание, что пользователь заблокирован на форуме. Не рекомендуется проводить сделки. Если пользователь уже обманул вас каким-либо образом, обратитесь в наш арбитраж, дабы мы могли по возможности урегулировать возникшую у вас проблему.
В Google была обнаружена критическая уязвимость, эксплуатация которой позволяет получить доступ к рабочим серверам сервиса. Данные о бреши опубликовали эксперты из Detectify в официальном блоге компании. Сообщив о бреши представителям техногиганта, эксперты компании получили вознаграждение в размере $10 тысяч.
Специалисты обнаружили уязвимость в Toolbar Button Gallery (набор кнопок для инструментальной панели), когда заметили, что в последний можно добавлять новые кнопки. Таким образом, разработчики могут загрузить XML-файлы, которые содержат метаданные для добавления стиля и прочих подобных возможностей.
Эта функция поисковой системы Google уязвима к XXE, которая является XML-инъекцией, позволяющей хакеру заставить плохо скомпонованный анализатор XML «включить» или «загрузить» нежелательный функционал, который может скомпрометировать защиту web-приложения.
Эксплуатация уязвимости позволяет осуществить DoS-атаку, удаленно выполнить произвольный код, а также получить доступ к локальным файлам. Экспертам Detectify также удалось получить доступ к файлам, хранящимся на одном из рабочих серверов Google. В частности, они смогли прочитать файлы «/etc/passwd» и «/etc/hosts».
Специалисты обнаружили уязвимость в Toolbar Button Gallery (набор кнопок для инструментальной панели), когда заметили, что в последний можно добавлять новые кнопки. Таким образом, разработчики могут загрузить XML-файлы, которые содержат метаданные для добавления стиля и прочих подобных возможностей.
Эта функция поисковой системы Google уязвима к XXE, которая является XML-инъекцией, позволяющей хакеру заставить плохо скомпонованный анализатор XML «включить» или «загрузить» нежелательный функционал, который может скомпрометировать защиту web-приложения.
Эксплуатация уязвимости позволяет осуществить DoS-атаку, удаленно выполнить произвольный код, а также получить доступ к локальным файлам. Экспертам Detectify также удалось получить доступ к файлам, хранящимся на одном из рабочих серверов Google. В частности, они смогли прочитать файлы «/etc/passwd» и «/etc/hosts».
Профиль пользователя не подтвержден! Работа с ним может быть не безопасна!
Для подтверждения нужно быть зарегистрированным больше года или приобрести повышение прав.
Для подтверждения нужно быть зарегистрированным больше года или приобрести повышение прав.