Deux failles de sécurité chez Google
Il ya bien deux O dans Google
La société Google a été alertée par sa voisine californienne Finjan Software d’un trou de sécurité sur deux de ses pages. Le MCRC (ou Malicious Code Research Center), une section de Finjan, a communiqué à Google un dossier complet sur ces trous, avec une démonstration à l'appui.
Ces failles frappaient deux sous-sections de Google. Elles sont de type Cross Site Scripting et sont donc liées à un problème de filtrage des données. C'est notamment le programme décrivant le système de publicité en ligne Google Adwords qui serait concerné selon Cnet. Parfois sous-estimées car très fréquentes sur de nombreux sites, ces failles autorisent toutefois plusieurs types d’attaques comme l’injection de code et donc une attaque par phishing, voire le vol de cookie d’identification. On pourra ainsi rentrer théoriquement dans le compte Google de l’abonné, voire monter un faux site pour forcer ce dernier à communiquer docilement des données personnelles.
Finjan a publié un communiqué sur cette attaque potentielle mais n’a donné aucun détail. Le labo MCRC a toutefois souligné que Google avait colmaté les brèches en questions très rapidement.
Ces failles frappaient deux sous-sections de Google. Elles sont de type Cross Site Scripting et sont donc liées à un problème de filtrage des données. C'est notamment le programme décrivant le système de publicité en ligne Google Adwords qui serait concerné selon Cnet. Parfois sous-estimées car très fréquentes sur de nombreux sites, ces failles autorisent toutefois plusieurs types d’attaques comme l’injection de code et donc une attaque par phishing, voire le vol de cookie d’identification. On pourra ainsi rentrer théoriquement dans le compte Google de l’abonné, voire monter un faux site pour forcer ce dernier à communiquer docilement des données personnelles.
Finjan a publié un communiqué sur cette attaque potentielle mais n’a donné aucun détail. Le labo MCRC a toutefois souligné que Google avait colmaté les brèches en questions très rapidement.
Marc Rees
le 11 octobre 2005 à 11:47
(10 690
lectures)
Actualités et brèves relatives
- 07 / 10 / 2005 : Une faille dans l'antivirus de Symantec
- 07 / 10 / 2005 : Du phishing par une fausse barre Google
- 05 / 10 / 2005 : Antivirus Kaspersky : la rustine arrive !
- 29 / 07 / 2005 : Deux failles dans Opera. Version 8.02 conseillée
- 26 / 07 / 2005 : 3com paye la découverte des trous de sécurité
- 17 / 06 / 2005 : Trois failles dans le navigateur Opera
- 07 / 06 / 2005 : Faille de Cross Site Scripting sur MSN.com
- 09 / 05 / 2005 : Une faille dans Firefox, un trou qui prend l’air
- 17 / 03 / 2005 : Les cookies, des fichiers très souvent pulvérisés
