Google otorgó $ 10,000 a un cazador de errores por señalar un error XSS en Maps

Un jefe de seguridad de aplicaciones descubrió un error de secuencia de comandos entre sitios en Google Maps y fue recompensado con una recompensa de $ 5,000 después de informarlo. Poco después de lanzar un parche para él, el mismo tipo informó a Google sobre cómo sortear el parche para explotar la misma función nuevamente y ganó otra recompensa de $ 5,000. El error se relaciona con el sistema de exportación de mapas de Google.

Bug Hunter obtuvo recompensas de $ 10,000 de Google

El programa Google Vulnerability Rewards (VRP) es donde cualquiera puede señalar vulnerabilidades en los servicios o productos de Google para ser recompensado. Si Google decide que la vulnerabilidad reportada es una vulnerabilidad seria que debe ser explotada, recompensa a los reporteros en consecuencia.

Bajo este programa, gastó más de $ 6.5 millones el año pasado, y el pago más alto se terminó $ 200,000 por un error en el teléfono inteligente Pixel 3.

Google lanzó dos correcciones para corregir el error original

Y ahora, el jefe de seguridad de aplicaciones de Wix, Zohar Shachar posee informó un error de Google Maps plataforma. Dijo que la forma en que Maps maneja la exportación de un mapa recién creado es defectuosa, ya que puede manipularlo para incluir código malicioso y activar el código XSS en el navegador de la víctima.

Según él, luego de crear un mapa, Maps permite exportar el contenido en diferentes formatos, donde KML – una estructura basada en etiquetas basada en el estándar XML es una opción.

Según él, el nombre del mapa de formato de archivo está en una etiqueta CDATA abierta, donde el navegador no procesa el código del archivo. Por lo tanto, al agregar caracteres especiales como “]]>, es posible desenmascarar la verificación de la etiqueta y agregar contenido XML arbitrario durante la exportación.

Este proceso de trampa puede conducir a un ataque XSS si el mapa recién creado con datos maliciosos se comparte con un objetivo. Después de informar esto, Google envió una recompensa de $ 5,000 a Sachar y lanzó un parche para eso.

Pero Sachar se sorprendió, ya que Google acaba de usar una nueva etiqueta CDATA para cerrar la etiqueta original y dos etiquetas CDATA abiertas, sin pasar por el parche, solo necesitarían dos etiquetas CDATA cerradas. Recompensó otros $ 5,000 por ese informe y también una solución confiable para él.