Pesquisador revela bug do Google Maps XSS, patch bypass

A recompensa foi dobrada depois que o caçador de recompensas d bugs percebeu que a correção original falhou.

O Google resolveu uma vulnerabilidade de XSS no Google Maps que foi relatada por meio do programa de recompensa por bug da gigante da tecnologia. 

O Vulnerability Reward Programs (VRP) do Google fornece uma plataforma para que pesquisadores terceirizados divulguem questões de segurança nos serviços e produtos do Google de maneira privada, em troca de recompensa financeira e crédito. 

O chefe de segurança de aplicativos do Wix Zohar Shachar disse em uma postagem de blog que descreve a vulnerabilidade que um problema de script entre sites estava presente na forma como o Google Maps lida com recursos de exportação. 

Veja também:  O programa de recompensa por bug do Google acaba de bater um ano recorde de pagamentos

Depois de criar um mapa, o serviço permite que esse conteúdo seja exportado em uma variedade de formatos, um dos quais é KML , que usa uma estrutura baseada em tags e é baseado no padrão XML. 

De acordo com Shachar, o nome do mapa desse formato de arquivo está contido em uma tag CDATA aberta e, portanto, o código “não é processado pelo navegador”. No entanto, ao adicionar caracteres especiais como “]]>”, foi possível escapar da tag e adicionar conteúdo XML arbitrário, levando ao XSS. O pesquisador então relatou suas descobertas ao Google. 

screenshot-2020-09-08-at-10-36-19.png
Nota: falta um ‘>’ na etapa três. Zohar Shachar

No entanto, esse não foi o fim do problema de segurança. Depois que o Google enviou a Shachar uma mensagem dizendo que a falha do XSS foi resolvida, o pesquisador fez a verificação abrindo o Google Maps, inserindo a mesma carga útil e visualizando os resultados. 

Shachar disse que o que viu foi “confuso”, pois a correção incluiu apenas a adição de uma nova marca CDATA para fechar a marca original. Com duas tags CDATA abertas, portanto, contornar a correção levaria apenas duas tags CDATA fechadas. 

“Fiquei genuinamente surpreso que o desvio fosse tão simples”, observou o pesquisador. “Eu relatei tão rapidamente (literalmente 10 minutos entre verificar minha caixa de correio e relatar um desvio), que logo após enviar este e-mail comecei a duvidar de mim mesmo.

Cerca de duas horas depois de enviar uma nova consulta com suas descobertas, o pesquisador foi informado de que o caso estava sendo reaberto. 

O primeiro problema de XSS foi relatado ao Google em 23 de abril. Em 27 de abril, a equipe de VRP do Google aceitou a vulnerabilidade como legítima, emitindo a primeira correção e recompensa em 7 de junho. O desvio do patch original foi relatado no mesmo dia, e depois de resolvido, o pesquisador recebeu seu segundo pagamento em 18 de junho.

Cada vulnerabilidade rendeu a Shachar $ 5.000, para uma recompensa total de $ 10.000.

“Desde esse incidente de desvio de correção do Google Maps, comecei a sempre revalidar as correções, mesmo para coisas simples, e isso tem valido a pena”, diz Shachar. “Eu o encorajo de todo o coração a fazer o mesmo.”

O programa de recompensa de bug do Google emitiu uma quantia recorde de pagamentos em 2019. Ao longo do ano, o Google pagou US $ 6,5 milhões em recompensas por divulgações de recompensa de bug, e o pagamento principal foi emitido para Guang Gong, da Alpha Lab, por uma cadeia de exploração de execução remota de código no Pixel 3. O pesquisador recebeu $ 201.337. 

Fonte: https://www.zdnet.com/article/researcher-reveals-google-maps-xss-bug-patch-bypass