Podría decirse que es la primera vez que el gigante de Internet se ve afectado por un fallo de seguridad tan sumamente importante. Y es que estamos hablando de que con un simple código XML no solo se puede acceder a los archivos, sino que se pueden realizar una gran cantidad de acciones sobre el servidor.
El problema ha sido localizado por por un grupo de investigadores pertenecientes a la web Detectify y afecta principalmente a la barra de herramientas que el gigante de Internet posee en su motor de búsqueda. En este barra de herramientas el usuario puede personalizar que aplicaciones aparecen en ella. Sin embargo se ha comprobado que el parser que realiza la interpretación de códigos XML que el usuario suministra es capaz de interpretar otro tipo de instrucciones que no tengan nada que ver con el motor de búsqueda.
Pero no solo interpreta estas instrucciones, lo cual puede ser considerado hasta normal, y es que el problema reside en que además de interpretarlas las ejecuta contra el servidor, realizando consultas sobre este y devolviendo información si la llamada así lo requiriese.
Por qué existe este problema y consecuencias que puede tener
Tal y como hemos explicado, lo que podría ser considerado un problema de configuración de los servidores se ha convertido en un problema localizado en una simple barra de botones que Google posee como complemento en su motor de búsqueda. De esta forma, el problema está creado por la ausencia de limitaciones en el parser, es decir, este no solo traduce todas las instrucciones, sino que además las lleva a cabo, sin establecer un patrón de instrucciones que pueden ser ejecutadas y las que no lo pueden.
Por este motivo, todas aquellas instrucciones que sean consultas sobre datos que pertenezcan a los servidores van a poder realizarse obteniendo resultados relacionados con los contenidos que se encuentran en el servidor. Pero esto no es el único problema, porque con este fallo de seguridad se puede realizar la ejecución remota de código en los servidores, ataques de denegación de servicio, e incluso la modificación de la configuración de estos pero dependiendo de otros factores, es decir, de otros parámetros de los servidores que estuviesen mal configurados.