В Google была обнаружена критическая уязвимость, эксплуатация которой позволяет получить доступ к рабочим серверам сервиса. Данные о бреши опубликовали эксперты из Detectify в официальном блоге компании. Сообщив о бреши представителям техногиганта, эксперты компании получили вознаграждение в размере $10 тысяч. Специалисты обнаружили уязвимость в Toolbar Button Gallery (набор кнопок для инструментальной панели), когда заметили, что в последний можно добавлять новые кнопки. Таким образом, разработчики могут загрузить XML-файлы, которые содержат метаданные для добавления стиля и прочих подобных возможностей. Эта функция поисковой системы Google уязвима к XXE, которая является XML-инъекцией, позволяющей хакеру заставить плохо скомпонованный анализатор XML «включить» или «загрузить» нежелательный функционал, который может скомпрометировать защиту web-приложения. Эксплуатация уязвимости позволяет осуществить DoS-атаку, удаленно выполнить произвольный код, а также получить доступ к локальным файлам. Экспертам Detectify также удалось получить доступ к файлам, хранящимся на одном из рабочих серверов Google. В частности, они смогли прочитать файлы «/etc/passwd» и «/etc/hosts».
