Összefoglaló
A Google Desktop Search egy cross-site scripting sebezhetőségét jelentették. Ez a sebezhetőség lehetővé teheti, hogy a támadó bármilyen olyan tevékenységet folytasson a sérült rendszeren, melyre a Google Desktop Search képes.
Leírás
A Google Desktop Search program tartalmaz egy cross-site scripting sebezhetőséget az “under” (alatt) paraméterben. A sebezhetőség azért következik be, mert a Google Desktop Search engine nem ellenőrzi kellőképpen a felhasználói bevitelt.
A sebezhetőség oka az, ahogyan a Google Desktop Search engine feldolgozza a hibás formátumú felhasználói bevitelt. Ha a felhasználót rábírják a speciálisan e célból készített HTML dokumentum (pl. web oldal vagy egy HTML email üzenet) megtekintésére, akkor a távoli jogosulatlan támadó lefuttathatja a meglévő tetszőleges kódot, kereshet és megnézhet file-okat vagy érzékeny adatokat szerezhet meg.
Megjegyzés: Csak más sebezhetőség megléte mellett lehetséges a távoli kiaknázás.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
US-CERT 615857
Gyártói referencia: desktop.google.com
Egyéb referencia: www.us-cert.gov
