Posted: 29 Januari 2012 00:00:00 by lucian BeritaNet.com | Dilihat 539 kali

Seorang peneliti dari laboratorium yang melakukan penelitian mengenai kerentanan (Vulnerability) menemukan kerentanan Cross-Site-Scripting (XSS) pada halaman web Google Apps, domain host google.com dan juga pada situs-situs popular lainnya. 

Ucha Gobejishvili, yang juga dikenal sebagai longrifle0x, menemukan cacat di Google Apps dan telah melaporkannya ke pihak Google.

Meskipun di perkirakan kerentanan ini memiliki tingkat resiko yang rendah, tapi jika tidak segera di selesaikan, maka celah keamanan yang terdapat dalam sebuah modul pencarian dapat memungkinkan penyerang menjalankan remote untuk membajak cookies dan bahkan mencuri account. 

Kerentanan ini telah dilaporkan pada tanggal 21 dan telah ditanggapi oleh pihak vendor pada tanggal 23 Januari, tetapi ketika memberi member tanggapan, masih ada bug pada halaman Google.

Kerentanan yang di temukan oleh longrifle0x di google, ternyata bukanlah satu-satunya kerentanan ini juga terdapat pada beberapa situs-situs popular lainnya seperti Forbes search page, took on-line resmi milik Ferrari, MTV dan jejaring social Myspace. Sayangnya, menurut laporan dari XSSED mengungkapkan bahwa hingga saat ini belum dilakukan tindakan untuk memperbaiki kerentanan tersebut.

Kerentanan XSS yang sama juga pernah di temukan oleh ahli keamanan di Opera, Sony Ericsson dan situs resmi penyedia pakaian olahraga Puma. 

Kerentanan XSS ini sangat umum ditemukan di situs-situs komersial. Beberapa hari yang lalu, hacker dari TeamHav0k menemukan bug serupa  dengan profil tinggi seperti yang terdapat dalam website milik Rochester Institute of Technology,  Arizona State University, NYU Poly’s Center  for Advanced Technology in Telecommunications, Michigan State University and Aurora University.

Selain situs universitas, para hacker juga menemukan kelemahan keamanan yang sama di situs pemerintah AS yang besar.

Sehari sebelum mengungkapkan hal ini, TeamHav0k menemukan cross-site scripting bug di situs  milik Verizon, Huffington Post, Organisasi Eropa untuk Riset Nuklir (CERN), Electronic Arts (EA), IGN dan New York Times.