Nieuws
image

14-jarige vindt Javascript lek in Gmail

donderdag 2 maart 2006, 15:24 door Redactie, 10 reacties

Een 14-jarige jongen genaamd Anthony heeft een lek in Google's Gmail gevonden. Via het lek zou een aanvaller e-mailadressen kunnen verzamelen of mogelijk zelfs het account over kunnen nemen. De tiener kwam achter het lek toen hij javacript code van zijn Yahoo account naar zijn Gmail account stuurde.

Volgens Google heeft men het lek al gedicht. De zoekgigant wijst er tevens op dat security onderzoekers lekken op een verstandige manier bekend moeten maken en eerst contact met Google moeten opnemen.

Reacties (10)
02-03-2006, 16:10 door Anoniem
Wooooo..... Letterlijk een script-kiddie dus! ;)

Jongens kom nou....

Spreken we hier nu echt over een _LEK_.... of een stukje
functionaliteit waar Google misschien iets makkelijk mee is
omgegaan....
Het is geen cross-site-scripting... T'is geen feitelijke
exploit...

In weze nix meer of minder dan een mogelijkheid om
javascript in email te gebruiken... Tja.... Hoeveel
webmail-apps zouden hier nog meer last van hebben?
02-03-2006, 18:33 door G-Force
Nou...als dit zo eenvoudig is dan kun je afvragen of alle bobo's van Google
door een simpele e-mail van een 14 jarige niet in hun hemd staan...
02-03-2006, 19:53 door Anoniem
dat is ook wel weer wat overdreven naar mij mening, als ie
het nou echt gevonden had dan ok, maar hij kwam er per
toeval achter, leeftijd doet er niet toe dan.
02-03-2006, 19:56 door Zarco.nl
Door Peter V.
Nou...als dit zo eenvoudig is dan kun je afvragen of alle
bobo's van Google
door een simpele e-mail van een 14 jarige niet in hun hemd
staan...
Ja, dit is erg makkelijk.
Je wilt niet weten hoeveel websites hiervoor vatbaar zijn.
02-03-2006, 20:11 door Anoniem
ik vind het zijn eigen al straf dat een 14-jarige gevonden heeft ! zelfs al is
google hier licht mee omgesprongen !
02-03-2006, 20:38 door Anoniem
Die gaat zeker een mooie carriere maken bij Google ^^
03-03-2006, 08:50 door Anoniem
Door Anoniem

Het is geen cross-site-scripting... T'is geen feitelijke
exploit...

Want? Jij bent zijn broer of zo?
Hij heeft het erover dat hij erachter kwam nadat hij wat JS
naar zijn account gestuurd had. Als je JS gewoon in
plaintext in zijn mail verschenen zou zijn zou er niks aan
de hand zijn geweest lijkt me. Aangezien dit niet het geval
was lijkt het erop dat er toch wat JS heeft kunnen draaien.
Als dat al kan kan je al snel iets met XSS beginnen imho..
03-03-2006, 11:36 door Anoniem
Door Anoniem
Door Anoniem

Het is geen cross-site-scripting... T'is geen feitelijke
exploit...
Want?
Het is zeker geen CSS, omdat het uitgevoerd word vanaf de
gmail website zelf, d'r is dus niets CSS aan. Gewoon een
stomiteit van Google dat ze het > en het < teken niet
vervangen door > / < . Dat doe ik standaard bij al
mijn apps om dit juist te voorkomen.

Je kan hiermee zeker wel gevaarlijke dingen doen, hij maakt
een JS die een paar goeie requests doet, en hij laat via JS
jou emailbox versturen waardoor hij al je contactpersonen heeft.
03-03-2006, 12:51 door SirDice
Cross-site scripting wordt meestal aangeduidt met XSS om
verwarring te voorkomen met CSS (Cascading Style Sheets)..
En het script wordt dus niet op de webserver uitgevoerd maar
lokaal in de browser. Dat maakt het wel degelijk een XSS..
03-03-2006, 21:53 door Anoniem
De zoekgigant wijst er tevens op dat security onderzoekers lekken op een
verstandige manier bekend moeten maken en eerst contact met Google
moeten opnemen.
_________________________________________________________

lol dat zei zoiets moeten zeggen zegt toch al genoeg het is niet de
bedoeling dat wij de fouten voor jullie eruit gaan halen ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure