Un XML malicieux rapporte 10 000$ à des chercheurs en sécurité
Une vulnérabilité critique a été découverte dans Google. Elle permet à un hacker d'accéder aux fichiers internes stockés sur les serveurs de production de Google. Cela peut paraître ridicule mais a été prouvé par les chercheurs en sécurité de Detectify.
Qu'est-ce que cette vulnérabilité ?
Elle réside dans l'utilisation de la Google Toolbar Button Gallery. En fait, Google autorise les utilisateurs à personnaliser la barre d'outils par l'ajout de nouveaux boutons. Donc, pour les développeurs, c'était simple de créer leur propre bouton en envoyant un fichier XML contenant des métadonnées pour personnaliser complétement ce bouton.
Cette fonctionnalité est vulnérable à une injection XML appelée également XML External Entity (XXE). Cela consiste à autoriser un hacker à forcer la prise en compte d'un fichier XML mal configuré, afin de charger ou d'insérer du code non autorisé, donc de compromettre la sécurité de l'application web.
Exploiter cette vulnérabilité pourrait permettre d'accéder à des fichiers locaux, d'effectuer un déni de service mais aussi d'exécuter du code à distance, etc... D'après les chercheurs.
Après avoir envoyé leur propre bouton, les chercheurs ont obtenus l'accès aux fichiers internes des serveurs de production Google. Ils ont pu lire différents fichiers comme "/etc/passwd" et "/etc/hosts".
Les chercheurs ont immédiatement signalé la vulnérabilité à l'équipe de Google. Une récompense de 10 000 dollars (7 200€) leur a été versée pour avoir identifié la vulnérabilité XML External Identity présente dans la barre d'outil Google.