Хакеры взломали Google
Даже продукты компании Гугл могут быть взломаны. Это было доказано командой исследователей безопасности Detectify.
Хакеры обнаружили серьезную уязвимость на сервере Google получили 10000$ за взлом Google
Взлом был совершен используя уже давно известную уязвимость XXE (XML External Entity Processing).
Данный метод позволяет внедрять внешние объекты, например для загрузки отдельных частей файла, однако, если хакер может внедрить произвольный участок кода в схему, это может привести к серьезным последствиям, например, чтению произвольного файла на сервере!
Виновник торжества, который позволял внедрить код оказался один из сервисов Google, а именно Toolbar Button Gallery.
Было обнаружено, что для удобства настройки тулбара, разрешена загрузка XML файла с пользовательскими настройками. Внедрив специальный участок кода в файл и загрузив его на сервер, хакеры получили нужные данные, уязвимость XXE сработала.
Исследователи продемонстрировали чтения файлов /etc/passwd и /etc/hosts, но на это не предел возможностей, так же можно было добиться отказа в обслуживании, SSRF, а также, даже, выполнения произвольного кода на сервере!.
Исследователи получили награду за найденную и доказанную уязвимость — 10000 долларов.
P.S. данная новость лишний раз доказывает — Что один человек сделал, другой завсегда сломать сможет..
Фразы: компьютерная безопасность, найдена уязвимость в Google, награда 10 тысяч долларов за взлом
