Gmail: Falla CSRF in 'Change Password'





Il 2015 in Google Search Falla in Grub2: Linux a Rischio! Inbox by Gmail: Condivisione Viaggi Firefox 64-bit Disponibile Windows Live Writer Ã¨ Open Source Gmail Labs: Traduzione Messaggio Flock 2.5: Facebook Chat /FlockCast SA971492: Falla in Microsoft IIS Firefox 3.5: Concept Nuova Icona	Firefox 2: Trucchi Schede/Tab II Firefox 2: Trucchi Schede/Tab Firefox 2: Aggiungere Lettore Feed [SP2] Connessioni Max TCP VII [IE7] Tutti i Tasti di Scelta Rapida [Vista] Disabilitare UAP [Vista] Aero UI Reg Tweaks Quake 4 - Cheats Trucchi Comandi [IE7] Beta 1 EN-US su XP ITA	NirLauncher 1.23.9 Process Lasso 9.5.1.0 ProgDVB 7.31.4 Gimp 2.10.14.3 MKVToolnix 42.0.0 AnyDVD & AnyDVD HD 8.4.3.0 Driver Magician Lite 4.91 phpMyAdmin 5.0.0 HandBrake 1.3.1

Letta 119169 volte	10 marzo 2009 alle 16.34 di netquik	Fonte: Varie
Gmail: Falla CSRF in 'Change Password'

LINK: Full Disclosure Advisory @ SecuriTeam Report @ The Tech Herald

Secondo quanto reso pubblico in rete, Gmail, il popolare servizio di posta webmail di Google, sarebbe affetto da una vulnerabilitÃ CSRF (Cross-Site Request Forgery) che potrebbe permettere ai cybercriminali di modificare la password di accesso degli utenti del servizio, sfruttando trucchi di ingegneria sociale. Gli attacchi di Cross-Site Request Forgery, conosciuti anche come attacchi "one click" o "session riding" e abbreviati in CSRF (Sea-Surf) o XSR quelli di cross-site scripting (XSS), quest'ultimo richiede all'attacker di iniettare un codice non autorizzato in un sito web, mentre il cross-site request forgery trasmette solamente comandi non autorizzati dall'utente riconosciuto dal sito. Google Gmail 'Filter import/export' - Gmail: Selezione Allegati Multipli - Altre Dalla Full Disclosure della vulnerabilitÃ (ISecAuditors Security Advisory): "Gmail Ã¨ vulnerabile ad attacchi CSRF nella funzionalitÃ 'Change Password'. L'unico token per l'autenticazione dell'utente Ã¨ un cookie di sessione, e questo cookie Ã¨ inviato automaticamente dal browser ad ogni richiesta. Un attacker puÃ² creare un pagine che include richieste alla funzionalitÃ 'Change Password' di Gmail e modificare le password degli utenti che, mentre sono autenticati, visitano la pagina dell'attacker. L'attacco Ã¨ facilitato dato che la richiesta 'Change Password' puÃ² essere eseguita tramite il metodo HTTP GET invece del metodo POST normalmente utilizzato nei moduli 'Change Password'." La full disclosure della vulnerabilitÃ include un proof of concept che mostra due esempi di exploit della falla che si traducono nella possibilitÃ di modificare la password di un utente dopo averlo indotto a visitare una pagina web creata per lo scopo. Bisogna evidenziare che la vulnerabilitÃ Ã¨ stata scoperta molti mesi fa, precisamente nell'estate 2007. Il team di Google, a cui la problematica Ã¨ stata segnalata tempestivamente, sembra aver analizzato la debolezza del suo servizio, ma a Gennaio scorso il colosso ha affermato che questo comportamento non sarebbe stato modificato nel breve periodo, giudicandolo un problema di sicurezza non significativo. Google risponde a The Tech Herald: "Siamo a conoscenza di questa segnalazione da un po' di tempo, e non consideriamo questo caso come una vulnerabilitÃ significativa, dato che un exploit condotto con successo richiederebbe di indovinare la password di utente nel momento in cui questo sta visitando un potenziale sito di attacco. Non abbiamo ricevuto alcuna segnalazione che questa stia venendo sfruttata. Nonostante la probabilitÃ molto bassa di indovinare una password in questo modo, valuteremo modi per mitigare ulteriormente la problematica. Incoraggiamo sempre gli utenti a scegliere password robuste, e abbiamo un indicatore che li aiuta a farlo".

non ci sono commenti alla news nel forum

DUST FROM THE PAST

Google smentisce 1000GB

Google smentisce la volontÃ di portare le caselle di posta GMail a 1 Terabyte e motiva l'accaduto con l'ammissione di un bug, come ipotizzato da Tweakness.net. Il tutto Ã¨ stato prontamente corretto…20 maggio 2004

Nuove FunzionalitÃ per GMail

GMail sta cambiando. Il servizio che ha rivoluzionato la webmail con il suo GByte di spazio, ha introdotto da qualche giorno nuove e importanti caratteristiche. Non c'Ã¨ l'accesso POP3, ma alcune succ… 5 ottobre 2004

GMail come Disco Virtuale

Google ha da qualche tempo affiancato alle iniziali funzionalitÃ di motore di ricerca una serie di altri servizi piÃ¹ o meno utili e che in qualche caso hanno pure fatto discutere. Recentemente si Ã…15 ottobre 2004

ULTIME NEWS - GMAIL

Gmail Labs: Traduzione Messaggio

Google ha reso disponibile un ennesimo esperimento Labs per Gmail, il suo popolare client di posta webmail: "Traduzione del messaggio" utilizza la tecnologia Google Translate per tradurre i messaggi …20 maggio 2009

Google: NovitÃ in Gmail e Calendar

Google ha annunciato due novitÃ per i suoi popolari servizi web, Gmail e Google Calendar: il supporto per l'importazione di contatti e messaggi di posta da altri provider per Gmail ed l'integrazione …14 maggio 2009

Gmail Labs: Ricerca Web e Emoji

Google continua a rendere disponibili nuovi esperimenti Labs per Gmail, il suo popolare servizio di posta webmail, su base settimanale; negli ultimi giorni il colosso della ricerca ha reso disponibili… 1 maggio 2009

ONLINE
OSPITI	6
UTENTI	0


VISITE OGGI
128

VISITE TOTALI
6.256.280

Lavori in corso

NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER