Accueil > Actualités informatiques & logiciels > Vulnérabilité : vol d'un cookie, les services Google menacés
Dernières actualités
- Télécharger les meilleurs logiciels de la semaine
- Don à 300 000 $ pour la bibliothèque multimédia de
- Toyota présente un fauteuil roulant pilotable par la
- Maxthon : nouvelle version pour le navigateur Web
- Numericable : 161 000 clients pour le triple play à 4
- BitDefender : deux outils gratuits à télécharger
- FBackup : nouvelle version de l'outil de sauvegarde
- Google Update adopte un nouveau comportement
- Net : bisbille autour de la notation des médecins et
- Facebook prépare deux nouvelles fonctionnalités
- Winamp : nouvelle version 5.56 pour le lecteur
- Windows 7 : rumeur autour d'un pack familial
- France : 33 millions d'internautes en mai
- Messenger Plus! Live : le support complet pour Windows
- Firefox 3.5 sera corrigé à la mi-juillet
Derniers dossiers
Produit du jour : J'illustre mes documents avec 60 000 cliparts à partir de 9.00 € (Logiciel)
14/04/2008 16:30 par Jérôme G. |
1 commentaire(s) 1 nouveau(x)
L'exploitation d'une vulnérabilité dans le tableur de Google Documents permet le vol d'un cookie utilisateur et place sous la menace l'ensemble des services en ligne de Google dont Gmail. Google a déjà comblé la vulnérabilité mais l'alerte a été chaude.
La découverte de Billy Rios a été prise très au sérieux, ne serait-ce que parce que ce chercheur en sécurité informatique jouit d'une belle réputation dans le milieu, suite à la mise à jour d'une vulnérabilité URI dans Windows qui avait fait couler beaucoup d'encre, ou encore de multiples failles dans Picasa de Google. Récemment, c'est Google Code qui avait subi la loi de Rios et aujourd'hui c'est une nouvelle fois un service étiqueté Google qui est dans sa ligne de mire.Nouvelle mise en garde pour Google et ses services
Dans un billet publié sur son blog, Rios annonce avoir découvert une vulnérabilité affectant le tableur du service de bureautique en ligne proposé par la firme de Mountain View, Google Documents. En exploitant cette vulnérabilité via des liens renvoyant vers des feuilles de calcul spécialement conçues, Rios soutient que des attaquants distants peuvent voler un cookie utilisateur Google. Avec ce simple cookie, c'est alors un accès à l'ensemble des services en ligne Google de l'utilisateur pris pour cible qui est offert, dont peut-être le plus sensible pour les données personnelles, Gmail.
Selon Rios, ladite vulnérabilité de type XSS (Cross site scripting) tire avantage de la manière dont Internet Explorer détermine le content-type d'une réponse HTTP renvoyée par le serveur. Certaines entêtes dans les réponses HTTP sont ignorées par le navigateur. Disons-le tout de site, le problème n'est pas spécifique au navigateur de Microsoft, et d'autres comme Firefox, Safari et Opera peuvent également ignorer l'entête content-type et tenter de déterminer la réponse du serveur par eux-mêmes.
Rios affirme avoir réussi à exploiter la vulnérabilité en injectant du contenu HTML dans la réponse serveur. Pour ce faire, il a généré une feuille de calcul, la première cellule contenant le code HTML et un bout de JavaScript pour afficher le cookie utilisateur. Le tableur de Google peut exporter des données dans un texte au format cvs qu'Internet Explorer interprète en tant que HTML.
Apparemment, Google a comblé la vulnérabilité mais cette nouvelle alerte montre à quel point l'intégrité de ses services ne tient qu'à un fil.
Voir le commentaire - Poster un commentaire
mots-clés : service google, cookie google, google documents tableur, vulnerabilite Catégories : Sécurité, Failles de sécurité
- 14-04-2008 Vulnérabilité : vol d'un cookie, les ...
- 05-07-2009 Rumeur : Sony Ericsson Rachael, smartphone ...
- 03-07-2009 Maxthon : nouvelle version pour le ...
- 03-07-2009 BitDefender : deux outils gratuits à ...
- 03-07-2009 Google Update adopte un nouveau comportement
- 03-07-2009 France : 33 millions d'internautes en mai
- 03-07-2009 Messenger Plus! Live : le support complet ...
- 02-07-2009 FCleaner : nouvelle version de l'outil de ...
- 01-07-2009 The Pirate Bay : les projets annexes ...
- 01-07-2009 Apps Sync for Outlook : Google remercie ...
| Lun | Mar | Mer | Jeu | Ven | Sam | Dim |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
- 18:07 instalation vista familial
- 15:23 Un controleur de domaine sous debian
- 10:22 ? Réveiller toute une salle de PC ?
- 10:21 Synchronisation de deux AD 2003 vers un autre en ...
- 10:20 Changement de serveur 2003 vers 2008
- 10:19 Problème maj win 2k / update.exe
- 10:17 Distribution de correctifs
- 17:27 Linux Fedora
- 16:21 probleme instalation window vista
- 18:50 Suppression de fichiers trop anciens
- 12:24 master boot record
- 11:05 Linux Diagnostique
- 18:28 XP écran bleu ciel à l'install
- 04:14 enregistrement son
-
NecroVision : patch 1.2
NecroVision est une nouvelle fois mis à jour. De nombreuses modifications sont apportées au titre de 505 Games.
-
Céville : démo
Au lendemain de la sortie en France de Ceville, Focus Home Interactive offre aux joueurs amateurs de jeu d'aventure la démo de ce titre bourré ...
-
Free Internet Window Washer
Free Internet Window Washer est une application pour effacer les traces d'utilisation sur votre PC, et ainsi garantir votre vie privée.
- 6.00 € Photo Albums
- 2.00 € Super pochoir
- 4.00 € Les boucles d'oreilles en perles
- 39.00 € Encyclopédie Universelle Larousse 2007
- 49.00 € Encyclopédie Universelle Larousse 2009 prestige
- 3.00 € Jardinage pratique
- 15.00 € Boule et Bill - Poney Club - José
- 95.00 € CorelDRAW X4 Graphics Suite
- 29.00 € Le Petit Larousse 2009
- 79.00 € Sony Vegas Movie Studio 9 Platinum Pro