Sippoint
Прошло меньше 24 часов после запуска Chrome-плагина Password Alert от Google, а IT-эксперты уже обнаружили метод обхода нового инструмента безопасности. Используя крайне примитивный эксплоит независимый исследователь Пол Мур (Paul Moore) смог избежать появления антифишингового предупреждения на системе потенциальной жертвы.
Для успешного нападения, как оказалось, достаточно было использовать семь строк кода JavaScript, который автоматически скрывает соответствующее уведомление, как только оно начинает появляться. Эта брешь была оперативно устранена разработчиками, однако вскоре Мур обнаружил еще одну.
Вторая уязвимость также позволяет скрывать уведомления от пользователей, но проэксплуатировать ее не так легко. Вместе с тем, по данным исследователя, Google будет испытывать аналогичные затруднения при устранении бреши.
В качестве доказательства и для пояснения подробностей Мур опубликовал на YouTube видео, где атака осуществляется в режиме реального времени.
Источник: SecurityLab.ru