Хакеры получили $10,000 за взлом Google
Данная «дырка» позволяет внедрять внешние сущности, например для загрузки отдельных частей файла, однако, если хакер может внедрить произвольный участок кода в схему, это может привести к серьезным последствиям, например, чтению произвольного файла на сервере.
Всему виной являлся один из сервисов Google, а именно Toolbar Button Gallery. Исследователи обнаружили, что для удобства настройки тулбара, разрешена загрузка XML файла с пользовательскими настройками. Внедрив специальный участок кода в файл и загрузив его на сервер, хакеры получили нужные данные, XXE сработала.
Безопасники ограничились лишь демонстрацией уязвимости в виде чтения файлов /etc/passwd и /etc/hosts, но на этом возможности уязвимости не ограничиваются. Например, с помощью XXE можно было добиться отказа в обслуживании, SSRF, а также, при нужном подходе, выполнения произвольного кода на целевом сервере. По программе вознагражения за найденные уязвимости, компания Google выплатила исследователям награду в виде
10000 долларов.(Дерзайте)
источник: habrahabr.ru/post/219125/
================================================== ================================================
РБК 10.09.2014, Москва 10:33:02 Компания Google выясняет причины взлома 5 млн почтовых ящиков Gmail, сообщила РБК представитель интернет-гиганта в России Светлана Анурова.
«Наши специалисты сейчас разбираются, что произошло в данном случае», - заявила она. Анурова отметила, что компания в любом случае советует пользователям выбирать сложные пароли и обязательно применять двухэтапную аутентификацию для защиты своих аккаунтов. «Мы также шифруем поток информации между нашими дата-центрами», - добавила она.
Ранее стало известно, что в Сеть выложены 4,93 млн адресов электронной почты в Gmail и паролей к ящикам. Особенность взлома Google заключается в том, что логины к почте одновременно являются кодом доступа ко всем сервисам компании. Накануне компания заявила, что хакеры на службе неназванного государства хотят взломать почтовые ящики пользователей почтовой службы Gmail из России.
Накануне стало известно, что почти 2 млн пользователей «Яндекс.Почты» и Mail.ru также были выложены в интернет. По данным «Яндекса», злоумышленники собирали базу пользователей почты много лет, и владельцев порядка 85% аккаунтов к моменту ее публикации предупреждали о взломе и предлагали сменить пароль.
источник: rbc.ru/rbcfreenews/20140910103302.shtml