Barra
de ferramentas Google apresenta falha
Uma falha na barra
de ferramentas do Google foi encontrada por especialistas da
Security Tracker. Ao ser explorada, permite que um usuário local execute
um código de sua escolha no sistema. A falha, relacionada à validação
de dados de entrada do software, atinge somente as versões do sistema
operacional Windows e ainda não foi corrigida.
Conforme o alerta ID:1011351
da Security Tracker, a seção "About" (Sobre) da barra de
ferramentas Google não filtra corretamente a entrada de códigos HTML.
Para explorar a falha, um
atacante local poderia criar uma página maliciosa no formato HTML que, ao
ser carregada pela vítima, acionaria a opção "About" e
executaria um código arbitrário inserido em seu contexto. O protocolo
("res:") no qual se encontra o problema não pode ser invocado
da zona da Internet, por isso a falha não pode ser explorada remotamente.
O problema reportado pelo
hacker ViPeR foi confirmado para a versão 2.0.114.1-big/en (GGLD) do
programa. Na página da Security Tracker foi publicada uma demonstração
de exploração da vulnerabilidade.
Para verificar qual a
versão usada, basta clicar sobre o menu "Google" na barra de
ferramentas, selecionar a opção "Help" e "About Google
Toolbar".
InfoGuerra
|
