Los servidores de Google están afectados por un problema de seguridad

Escrito por Adrián Crespo
Seguridad
5

Podría decirse que es la primera vez que el gigante de Internet se ve afectado por un fallo de seguridad tan sumamente importante. Y es que estamos hablando de que con un simple código XML no solo se puede acceder a los archivos, sino que se pueden realizar una gran cantidad de acciones sobre el servidor.

El problema ha sido localizado por por un grupo de investigadores pertenecientes a la web Detectify y afecta principalmente a la barra de herramientas que el gigante de Internet posee en su motor de búsqueda. En este barra de herramientas el usuario puede personalizar que aplicaciones aparecen en ella. Sin embargo se ha comprobado que el parser que realiza la interpretación de códigos XML que el usuario suministra es capaz de interpretar otro tipo de instrucciones que no tengan nada que ver con el motor de búsqueda.

Pero no solo interpreta estas instrucciones, lo cual puede ser considerado hasta normal, y es que el problema reside en que además de interpretarlas las ejecuta contra el servidor, realizando consultas sobre este y devolviendo información si la llamada así lo requiriese.

vulnerabilidad servidores google 1

Por qué existe este problema y consecuencias que puede tener

Tal y como hemos explicado, lo que podría ser considerado un problema de configuración de los servidores se ha convertido en un problema localizado en una simple barra de botones que Google posee como complemento en su motor de búsqueda. De esta forma, el problema está creado por la ausencia de limitaciones en el parser, es decir, este no solo traduce todas las instrucciones, sino que además las lleva a cabo, sin establecer un patrón de instrucciones que pueden ser ejecutadas y las que no lo pueden.

Por este motivo, todas aquellas instrucciones que sean consultas sobre datos que pertenezcan a los servidores van a poder realizarse obteniendo resultados relacionados con los contenidos que se encuentran en el servidor. Pero esto no es el único problema, porque con este fallo de seguridad se puede realizar la ejecución remota de código en los servidores, ataques de denegación de servicio, e incluso la modificación de la configuración de estos pero dependiendo de otros factores, es decir, de otros parámetros de los servidores que estuviesen mal configurados.

vulnerabilidad servidores google 2


Continúa leyendo
  • Jose

    No me he enterado de nada….

    • pepe

      Me parece que el autor del artículo tampoco.

      • franctastic

        =)

        salut!

      • AdrianCrespo

        Como no me he enterado te lo voy a explicar:

        Esta barra de herramientas o botonera que posee Google puede ser personalizada utilizando un fichero XML. En este ficheros XML se pueden incluir las instrucciones necesarias para modificar esta, sin embargo, se puedne incluir otras muchas relacionadas con peticiones de información a servidores (por ejemplo).

        Que el parser traduzca los dos tipos de instrucciones sin distinción no es problemático, el problema aparece cuando las segundas se ejecutan.

        Una de dos, o se limita el acceso que el parser tiene a la hora de ejecutar las instrucciones traducidas, o se configura para que este no las traduzca, o si las traduce no las ejecute.

  • Pingback: Los servidores de Google están afectados por un problema de seguridad()

  • Pingback: Vulnerabilidad de Google permite a cualquier dar órdenes a sus servidores | Googlelizados()

  • Anonimo

    Esto ya viene de hace años.
    VSantivirus No 2601 Año 11, martes 1 de enero de 2008
    Falsificación de información en barra de Google

    http://www.vsantivirus.com/vul-googletoolbar-spoofing.htm