Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Faille pour Gmail : mot de passe révélé

INFO ZATAZ – Un 0day permet d´intercepter le mot de passe d´un utilisateur de Gmail.

Le service de courrier électronique de Google, Gmail, souffre d’une vulnérabilité qui pourrait permettre, à un pirate, de mettre la main sur le mot de passe d’un utilisateur du webmail du géant américain.

ZATAZ.COM a pu constater et tester la faille. Il s’agit d’une simple injection d’un code malicieux écrit en JavaScript. Le code communique la requête au(x) serveur(s) de Gmail qui communique ensuite au pirate le mot de passe de la victime.

Au niveau de l’exploitation, l’utilisation de cette vulnérabilité de "Bypass Password" en local ou sur un réseaux local est très simple à mettre en place. «  A distance, l’attaque est plus complexe, mais loin d’être impossible  » confirme Casi, l’auteur de la découverte. Dans ce cas, il faut pouvoir exploiter le cookie de la victime (Key HTTP, Cookie Stealer, Phishing) couplé au code malveillant. Bref, prudence.

Nous vous déconseillons de cliquer sur le moindre lien vous offrant la possibilité de vous rendre sur Gmail. Il est préférable de taper l’url dans votre navigateur. Google a été notifié de la faille via notre protocole d’alerte ZATAZ.

Publié le 28-04-2011 à 00:52:22 dans le thème Réseau - Sécurité
Pays : International - Auteur : La rédaction

Source : zataz.com