07.05.2014 | Dropbox сообщила об устранении уязвимости в облачном хранилище |
Компания Dropbox сообщила об устранении уязвимости в облачном хранилище, которая позволяла сторонним пользователям получать несанкционированный доступ к чужим данным. Брешь затрагивала заголовки referer, позволяющие web-сайтам определять источник трафика, будь то поисковая система, закладка или другой ресурс. Уязвимость, присутствовавшая в заголовках referer, делала возможным похищение данных в Dropbox следующим образом: · Пользователь облачного хранилища отправлял ссылку на документ, содержащий гиперссылку на сторонний web-сайт. · Пользователь или авторизованный получатель проходил по гиперссылке, содержащейся в документе. · Заголовок referer раскрывал оригинальную ссылку на сторонний web-сайт. · Пользователь, имеющий доступ к заголовку (например, web-мастер или сторонний web-сайт), мог получить ссылку на документ. По словам представителей Dropbox, сообщений об эксплуатации этой уязвимости не поступало, и теперь она закрыта. Они также отметили, что в каких-либо дополнительных действиях со стороны пользователей облачного хранилища необходимости нет. К документам, которыми обменивались ранее, доступ временно закрыт до дальнейших распоряжений. Компания надеется снять это ограничение и восстановить ссылки, незатронутые уязвимостью, в течение ближайших нескольких дней, а пока пользователи могут заново переслать ссылки на деактивированные документы. |
Проверить безопасность сайта