Vulnerabilidad en GMail permite cambiar la contraseña de acceso sin permiso alguno

05 marzo 2009 Publicado por cLimbo
Ni es la primera de este tipo ni tampoco me atrevo a llamarla nueva, porque al parecer Google fue informado en Agosto de 2007 de esta vulnerabilidad, que no ha solucionado porque le parece difícilmente explotable. El descubridor es un español (Vicente Aguilera, de ISecAuditors) que ha decidido publicar una descripción y prueba de concepto. Se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante cambiar la contraseña de un usuario de Gmail sin su conocimiento.

+info: http://seclists.org/fulldisclosure/2009/Mar/0029.html

Vía: menéame.

Etiquetas: , ,