Mountain View – Google ha dovuto risolvere in fretta e furia un altro problema di sicurezza emerso sui propri sistemi: il bug hunter Bill Rios aveva individuato una falla che consentiva un attacco XSS (cross-site scripting) potenzialmente in grado di bucare l’integrità di molti dei servizi web dell’azienda.
Google ha confermato il problema, solo l’ultimo in ordine di tempo ai propri sistemi, spiegando che l’azienda considera la sicurezza dei dati degli utenti con estrema serietà e che quindi “abbiamo agito velocemente per risolvere la vulnerabilità prima che venisse resa pubblica”.
Google ha anche aggiunto che non c’è alcuna segnalazione che possa far ritenere che qualcuno abbia sfruttato questo problema.
Nel suo advisory Bill Rios ha spiegato che aveva potuto utilizzare Internet Explorer per ingannare Google Spreadsheets. È stato quindi in grado di piazzare uno script e codice HTML nella prima cella di uno spreadsheet: a quel punto la stringa è stata salvata e scaricata come valore ma il browser, visto l’HTML inserito nella cella, ha eseguito l’HTML. Da qui a poter manovrare malevolmente ai danni degli utenti il passo è breve. Va detto che lo stesso attacco eseguito con altri browser come Firefox, Opera o Safari, ha spiegato Rios, avrebbe avuto minori possibilità di aver successo.