Y yo ni me enteré de que existía
Por lo visto, una falla del tipo cross-scripting en Gmail alcanzó a existir por sólo algunas horas antes de que el problema fuera corregido, aunque el hecho de que estas fallas se produzcan de alguna manera permite entender porqué después de tanto tiempo al aire el servicio sigue llamándose Gmail beta.
La vulnerabilidad, básicamente, consistía en que un código javascript bastante sencillo insertado en una página, permitía que una persona que la visitase, estando a la vez logueada en su cuenta de Gmail, dejara al descubierto toda su lista de contactos con sus respectivas direcciones de email, fenómeno que ocurre porque Gmail guarda tales contactos en archivos javascript.
El problema, que utilizaba la interconexión entre Gmail y otros servicios, como Google Videos, está actualmente resuelto, aunque al decir de Garett Rogers de Zdnet, hay otros servicios que siguen vulnerables.
Fuente:
Anuncio de la falla en Cyber-knowledge.net
Anuncio de la solución en ZDNet
