Google(谷歌)修复了其反馈工具中的一个安全漏洞,该工具包含在Google多个产品中,攻击者可利用该漏洞窃取Google Docs敏感文档的截屏。
该漏洞是由安全研究人员Sreeram KL于7月9日发现的。作为Google漏洞奖励计划的一部分,Google授予了该研究人员3000多美金的赏金。
Google的许多产品,包括Google Docs,带有“发送反馈消息(Send feedback)”或“帮助改善Docs(Help Docs improve)”选项,用户可以发送含有截屏的反馈消息,Google Docs会自动加载截屏,突出特定问题。
但是,Google没有在其服务中重复相同的功能,而是将该反馈功能部署在Google的主网站(www.google.com),并通过iframe元素将其集成到其他域,iframe元素加载来自“feedback.googleusercontent.com”的弹窗内容。
这也意味着,每当反馈消息中包含Google Docs窗口的截屏时,渲染图像就需要将每个像素的RGB值传输到父域(www.google.com),然后父域将这些RGB值重定向到反馈消息的域,该域最终构造图像并以Base64编码格式将该图像发回。
然而,Sreeram在将这些消息传递至“feedback.googleusercontent.com”的方式中发现一个漏洞,攻击者可利用该漏洞将帧修改成任意外部网站,进而窃取和劫持预定上传至Google服务器的Google Docs截屏。
值得注意的是,该漏洞源于Google Docs域中缺少X-Frame-Options header,导致攻击者可以修改消息的目标源,并利用页面和其中包含的帧之间的跨源通信。
虽然该攻击需要一定形式的用户交互,例如点击“发送反馈消息”按钮,但是该漏洞利用门槛低,攻击者可以构造一个exp,捕获被上传的截屏的URL,并将其偷偷发送至恶意站点。
攻击者可通过将Google Docs文件嵌入恶意网站上的iframe,劫持反馈弹窗帧,重定向该内容至攻击者选择的域,从而实现该目的。
在跨源传输过程中未提供目标源,可导致安全问题,因为这会泄露发送至任何网站的数据。
根据Mozilla基金会的相关文档,当使用postMessage向其他窗口发送数据时,应始终指定准确的目标源,而不是*。恶意网站可以在用户不知情的情况下更改窗口的位置,因此可以截获使用postMessage发送的数据。
作者:Ravie Lakshmanan
来源:The Hacker News
来源:freebuf.com 2020-12-30 16:32:27 by: 偶然路过的围观群众
请登录后发表评论
注册