Total Security - totalsecurity.com.br
Falha de injeção HTML no GTalk
Falha no programa de mensagem instantânea do Google...Em meados de 1997, um israelense criou o ICQ, então programinha desconhecido que fazia com que pessoas de qualquer lugar do planeta se comunicasse instantaneamente [fora o delay]. Em 1999, prevendo a expansão do mercado de comunicadores instantâneos, a Yahoo comprou a Mirabilis [empresa do ICQ] e assim, a Microsoft, para não perder tempo, criou o MSN para concorrer com o Yahoo que já tinha o ICQ _o mais usado na época_ e o seu AIM.
Logo, um pouco mais tarde [6 anos], a prodígio com ares de "dona da internet" [Google] lançou mais um serviço para concorrer com a Yahoo e a MS; era o GTalk, comunicador instantâneo que apostava na tecnologia VoIP. Com um visual limpo, carregamento rápido e recursos simples, mas bem trabalhados, conseguiu tirar um pouco da fatia desse mercado, que até hoje a Microsoft abocanha com o seu MSN.
O especialista em segurança, Alec Storm, que trabalha para o site syhunt.com, declarou que achou um erro no GTalk. Erro de injeção HTML quando se envia um arquivo para a pessoa. Executando o código, mesmo não aceitando o arquivo. Já que o GTalk desenha a janela do chat em HTML usando um plugin do navegador da Microsoft [IE].
Usando o IESpy [18kb] para visualizar o código fonte de qualquer aplicativo _até o próprio Internet Explorer_ usando o plugin do mesmo para visualização de páginas web.
O erro ocorre, quando se recebe um arquivo com uma extensão específica e com um código HTML malicioso. Causado no atributo DXImageTransform, contido no código da página, especificamente, onde o ícone de mostragem do tipo de arquivo a ser recebido.
Aqui está o código conseguido com a ajuda do IESpy, no ato do recebimento de um arquivo malicioso.
Logo, um pouco mais tarde [6 anos], a prodígio com ares de "dona da internet" [Google] lançou mais um serviço para concorrer com a Yahoo e a MS; era o GTalk, comunicador instantâneo que apostava na tecnologia VoIP. Com um visual limpo, carregamento rápido e recursos simples, mas bem trabalhados, conseguiu tirar um pouco da fatia desse mercado, que até hoje a Microsoft abocanha com o seu MSN.
O especialista em segurança, Alec Storm, que trabalha para o site syhunt.com, declarou que achou um erro no GTalk. Erro de injeção HTML quando se envia um arquivo para a pessoa. Executando o código, mesmo não aceitando o arquivo. Já que o GTalk desenha a janela do chat em HTML usando um plugin do navegador da Microsoft [IE].
Usando o IESpy [18kb] para visualizar o código fonte de qualquer aplicativo _até o próprio Internet Explorer_ usando o plugin do mesmo para visualização de páginas web.
O erro ocorre, quando se recebe um arquivo com uma extensão específica e com um código HTML malicioso. Causado no atributo DXImageTransform, contido no código da página, especificamente, onde o ícone de mostragem do tipo de arquivo a ser recebido.
Aqui está o código conseguido com a ajuda do IESpy, no ato do recebimento de um arquivo malicioso.
Fonte:
C9 Security Blog
URL Fonte: https://totalsecurity.com.br/noticia/1827/visualizar/
Comentários