• Tweet

Investigadores de seguridad han descubierto un error en Google que permite el robo de cookies.

A través de la vulnerabilidad de Cross-Site Scripting los atacantes pueden robar cookies de los usuarios registrados para tener acceso a los servicios de Google, incluyendo acceso a las cuentas de correo de sus víctimas.

El impacto de esta vulnerabilidad es que las cookies de google son válidas a través de todos sus subdominios. Particularmente la vulnerabilidad de XSS para los dominios de Google toma ventaja debido a la manera en que IE responde a las peticiones http y aunque otros navegadores también tienen problemas en el manejo de estos contenidos, esta vulnerabilidad se limita solamente a IE.

El investigador que ha descubierto esta falla de seguridad generó un archivo con contenido HTML y una cadena de JavaScript para poder observar la cookie del usuario. Entonces salvó este archivo y generó una liga a este archivo para que el servidor lo interpretara como un archivo CSV, el cual IE erróneamente interpretó como HTML.