Un ingénieur en sécurité informatique vient de trouver une faille qui touche tous les services de Google accessibles via un sous-domaine de google.com (c’est-à-dire un grand nombre). Google aurait trouvé une parade…

Billy (BK) Rios explique sur son blog en quoi consiste cette faille. En résumé, il a pu exploiter une faille au niveau du content-type retourné par le tableur de Google situé sur spreadsheets.google.com. Etant donné que les cookies de Google sont valables pour tous les sous-domaines de google.com, sa technique lui permettait de lire le courrier Gmail d’un tiers, d’accéder aux documents hébergés par Google Docs ou les programmes stockés dans Google Code, ou plein d’autres choses…

Source et suite de l’article : http://www.webrankinfo.com/actualites/200804-faille-xss-services-google.htm