Gmail: Falla CSRF in 'Change Password'





Gmail Labs: Traduzione Messaggio Flock 2.5: Facebook Chat /FlockCast SA971492: Falla in Microsoft IIS Firefox 3.5: Concept Nuova Icona Office 2010 Trapelato in Rete Google Chrome Beta 2.0.172.27 Windows 7: Supporto Nativo VHD Google: Novità in Gmail e Calendar Windows 7: "Box Shots" e Logo "7"	Firefox 2: Trucchi Schede/Tab II Firefox 2: Trucchi Schede/Tab Firefox 2: Aggiungere Lettore Feed [SP2] Connessioni Max TCP VII [IE7] Tutti i Tasti di Scelta Rapida [Vista] Disabilitare UAP [Vista] Aero UI Reg Tweaks Quake 4 - Cheats Trucchi Comandi [IE7] Beta 1 EN-US su XP ITA	Baku 3.7.3437 Google Chrome 2.0.172.28 Google Chrome 2.0.172.30 Beta VLC Media Player 1.0.0 RC2 Java JRE SE 6.0 Update 14 CCleaner v2.20.920 µtorrent 1.8.3 Beta 15562 FeedDemon 3.0.0.22 RC1 FlashGot 1.1.9


Letta 48792 volte		10 marzo 2009 alle 16.34 di netquik	Fonte: Varie
Gmail: Falla CSRF in 'Change Password'

LINK:	Full Disclosure Advisory @ SecuriTeam Report @ The Tech Herald

Secondo quanto reso pubblico in rete, Gmail, il popolare servizio di posta webmail di Google, sarebbe affetto da una vulnerabilità CSRF (Cross-Site Request Forgery) che potrebbe permettere ai cybercriminali di modificare la password di accesso degli utenti del servizio, sfruttando trucchi di ingegneria sociale. Gli attacchi di Cross-Site Request Forgery, conosciuti anche come attacchi "one click" o "session riding" e abbreviati in CSRF (Sea-Surf) o XSR quelli di cross-site scripting (XSS), quest'ultimo richiede all'attacker di iniettare un codice non autorizzato in un sito web, mentre il cross-site request forgery trasmette solamente comandi non autorizzati dall'utente riconosciuto dal sito. Google Gmail 'Filter import/export' - Gmail: Selezione Allegati Multipli - Altre Dalla Full Disclosure della vulnerabilità (ISecAuditors Security Advisory): "Gmail è vulnerabile ad attacchi CSRF nella funzionalità 'Change Password'. L'unico token per l'autenticazione dell'utente è un cookie di sessione, e questo cookie è inviato automaticamente dal browser ad ogni richiesta. Un attacker può creare un pagine che include richieste alla funzionalità 'Change Password' di Gmail e modificare le password degli utenti che, mentre sono autenticati, visitano la pagina dell'attacker. L'attacco è facilitato dato che la richiesta 'Change Password' può essere eseguita tramite il metodo HTTP GET invece del metodo POST normalmente utilizzato nei moduli 'Change Password'." La full disclosure della vulnerabilità include un proof of concept che mostra due esempi di exploit della falla che si traducono nella possibilità di modificare la password di un utente dopo averlo indotto a visitare una pagina web creata per lo scopo. Bisogna evidenziare che la vulnerabilità è stata scoperta molti mesi fa, precisamente nell'estate 2007. Il team di Google, a cui la problematica è stata segnalata tempestivamente, sembra aver analizzato la debolezza del suo servizio, ma a Gennaio scorso il colosso ha affermato che questo comportamento non sarebbe stato modificato nel breve periodo, giudicandolo un problema di sicurezza non significativo. Google risponde a The Tech Herald: "Siamo a conoscenza di questa segnalazione da un po' di tempo, e non consideriamo questo caso come una vulnerabilità significativa, dato che un exploit condotto con successo richiederebbe di indovinare la password di utente nel momento in cui questo sta visitando un potenziale sito di attacco. Non abbiamo ricevuto alcuna segnalazione che questa stia venendo sfruttata. Nonostante la probabilità molto bassa di indovinare una password in questo modo, valuteremo modi per mitigare ulteriormente la problematica. Incoraggiamo sempre gli utenti a scegliere password robuste, e abbiamo un indicatore che li aiuta a farlo".

non ci sono commenti