Google kullanıcı hesaplarının çalınmasını sağlayacak yeni bir XSS açığı bulundu. Bunun için saldırganların bir site hazırlaması ve kurbanına bu siteyi ziyaret ettirmesi, bu yolla cookie’leri çalması yeterli oluyor.
Site arka planına gömülen kötü kodlar yoluyla ziyaretçilerden bilgi çalmak uzun zamandır saldırganlar tarafından kullanılan bir yöntem. Bunun için saldırganlar, kurbanlarını cazip bir şeyler öneren mail yoluyla siteye çekme yolunu kullanıyorlar. Bu nedenle de genel olarak “bilmediğiniz kişilerden gelen maillerdeki linkleri tıklamayınız” diyoruz.
Bu açığın detayı açıklanmamakla birlikte son derece kolay kullanılabilir bir açık olduğu ve henüz Google tarafından yamalanmadığı bildiriliyor.
Özel olarak bu açık konusunda da yama yayınlanana kadar kullanıcılara, bilmedikleri siteleri ziyaret edecekleri zaman, Google hesabından çıkmaları tavsiye ediliyor.
Bu açık Google’da son 1 ay içinde çıkan 3.cü açık. Daha önce kontak listesini çalma açığı ve yine hesap çalma açığı ortaya çıktı ama Google bu açıkları çok kısa sürede yamaladı.

Kaynak : 