VirusAlert.nl logo
  23 februari 2017 Blog | nieuwsbrieven | alerts | links | faqs | partners | adverteren | perskamer | colofon | contact
Inloggen:
Twitter
Zoeken ? Powered by Google
Titel:
Kritische beveiligingslekken in Google Mail ontdekt
Rubriek:
Virussen
Datum:
1 oktober 2007
Bron:
(c) 2007, VirusAlert
Bericht:

IT-beveiligingsonderzoeker Petko D. Petkov heeft in zijn Blog op meerdere kritische beveiligingslekken in Googles webmailer Google Mail gewezen.
In het artikel beschrijft de expert hoe het “Cross-Site-Request-Forgery (CSRF) lek is uit te buiten.

Volgens Petkov kan met deze schadelijke code vrijwel alle accountdata worden gestolen zoals inkomende mail en contactpersonen, zonder dat de gebruiker daar iets van merkt. De onderzoeker zal echter geen bewijs openbaar maken zolang Google het lek nog niet heeft gedicht. Via het lek is het voor een aanvaller bijvoorbeeld mogelijk om met een gemanipuleerde link de “Session-cookie” van een gebruiker over te nemen terwijl deze is aangemeld bij Google Mail.

“Wanneer iemand dit lek uitbuit voordat Google het dicht, ondervinden de gebruikers van Google veel schade.”, aldus Chris Gatford, beveiligingsexpert van Pure Hacking. Naar inschatting van Gatford wordt het lek door Googles nieuwe bewaartermijn voor data van 2 jaar begunstigd. “Indien het eenmaal gelukt is om een cookie te stelen, heeft men twee jaar toegang tot de Google Mail account van de rechtmatige eigenaar”,verklaart Gatford.

Hoewel G-Mail primair door particulieren wordt gebruikt, kunnen ook bedrijven door dit probleem worden getroffen. James Tuner, data-analist bij IBRS bericht dat veel werknemers hun bedrijfsmail doorsturen naar privé-accounts zoals bijvoorbeeld Google Mail. Een workaround voor het lek is het gebruik van Google Mail met de browser Firefox, waarbij tegelijkertijd Javascript wordt gedeactiveerd. Google heeft tot dusver nog niet inhoudelijk op het lek gereageerd.

Reactie plaatsen, log dan hier in
Link:
Pure Hacking
Advertentie:


 Reacties op dit bericht:
Er zijn nog geen reacties.

 Uw reactie:
U bent niet ingelogd dus kunt niet reageren op dit bericht.


© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants RSS