Es wurde entdeckt, dass der reguläre Ausdruck, der Aufrufe von nicht auf der Whitelist stehenden Domains verhindern soll, fehlerhaft ist.
Wenn ein Domainname /, ?, # oder \\ enthält, erkennt der Browser nur den Teil davor.
Die betreffende Routine prüfte jedoch \\ nicht, sodass bei der Ausführung von Code unter aaa.com\\google.com dies als Google-Server erkannt wurde.
Nach einer Meldung an Google kam die Antwort, dass das Problem im Closure-URI-Parser selbst lag, der intern an vielen Stellen bei Google verwendet wird, und dass dies gepatcht wurde.
Der Autor erhielt eine Bug-Bounty-Prämie von 6000 US-Dollar.
1 Kommentare
Es war wohl erst P4 und wurde dann zu einem Bug auf P1-Niveau. Aber bei 6000 $ wirkt die Prämie ziemlich gering..
https://www.google.com/about/appsecurity/reward-program/