Un chercheur en sécurité découvre que l'ensemble des services Google a été exposé à une attaque de type XSS. Aucun exploit n'a été répertorié.

L'intégralité des services Google peut être exploitée par une attaque de type XSS (Cross Site Scripting), vient de révéler l'expert en sécurité Bill Rios, qui publie dans les détails sa découverte (http://xs-sniper.com/blog/2008/04/14/google-xss/) Pour mémoire, un XSS est possible lorsqu'un service en ligne interprète mal les données entrées par l'utilisateur. Une fois cette faille exploitée par un code malicieux, la prise de contrôle de l'ordinateur est effective. Suivant ce schéma, Bill Rios est ainsi parvenu à prendre possession de l'ensemble des services Google en exploitant un trou dans Spreadsheet, le tableur de la marque. « Le cookie que pose Google est valide pour tous les sous-domaines du service. Ainsi, quand vous vous loguez dans Gmail (gmail.google.com), votre cookie est en fait valide pour code.google.com, docs.google.com, spreadsheet.google.com... Si une personne trouve une vulnérabilité de type XSS dans un seul de ces sous-domaines, elle sera capable de pirater votre session et d'avoir d'accès à tous vos services [et documents, NDLR] », explique Bill Rios. Joint par la rédaction de news.com, le porte-parole de Google a bien confirmé la faille, mais affirme également avoir résolu le problème avant que la vulnérabilité soit rendue publique. Aucun exploit n'aurait alors été rapporté.

FPSGun de Zalman : inutile ?

Take-Two en Asie, Ubisoft en Inde