O investigador de segurança japonês, Masato Kinugawa, descobriu uma vulnerabilidade XSS no motor de pesquisa da Google que foi introduzida com uma alteração feita meses atrás numa biblioteca JavaScript de código aberto.
A biblioteca é denominada Closure e, de acordo com o especialista, não consegue limpar adequadamente o texto de pesquisa introduzido (ou neste caso, um potencial payload malicioso).
A Closure Library é uma poderosa biblioteca JavaScript de baixo nível projetada para criar aplicações Web complexas e escalonáveis. É usada por muitas web apps da Google, como o motor de pesquisa, o Gmail, o Google Docs, o Google+, o Google Maps e outros.
A falha pode ser potencialmente explorada por agentes de ameaças para realizar ataques de phishing e outras atividades maliciosas.
De acordo com uma análise conduzida pelo LiveOverflow, a vulnerabilidade XSS foi aparentemente introduzida em 26 de setembro de 2018, quando um mecanismo de sanitização foi removido após a revisão do design da interface.
I never thought I would experience a XSS on Google Search. But @kinugawamasato blew my mind!
This is a video going over the difficulties of sanitizing HTML in JavaScript.https://t.co/T61VJJEuDE pic.twitter.com/EwoM0GaW3o
— LiveOverflow 🔴 (@LiveOverflow) March 31, 2019
A mudança de design foi revertida em 22 de fevereiro de 2019, o Google confirmou ter resolvido rapidamente a vulnerabilidade logo após saber da sua existência.
A análise dos comentários postados pelos desenvolvedores quando a mudança foi revertida revelou que o bug estava relacionado com um sanitizador de HTML. O problema foi a causa raiz da introdução de uma falha XSS no software do Google Web Server (GWS).
O LiveOverflow publicou um vídeo PoC para a vulnerabilidade.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.