Kritische Sicherheitslücke in Googles Desktop-Suche

30. März 2007, 11:00
1 Posting

Daten ließen sich von außen einsehen - Auch Kontrolle betroffener Rechner angeblich möglich - Hersteller liefert Update

Mit einem Update reagiert Google auf eine kritische Sicherheitslücke in einem seiner Produkte: Durch einen Fehler im Google Desktop konnten die Inhalte einer Festplatte von außen eingesehen werden.

Problematisch

Einmal mehr ergibt sich die Problematik daraus, dass Google die Desktop-Suche mit der Online-Suche verbindet. Eigentlich sollte dabei zwar sichergestellt sein, dass keine lokalen Daten ins Internet verschickt werden, genau dieser Schutz ließ sich nun aber austricksen.

Erläuterung

Die konkrete Vorgangsweise wird dabei in einem ausführlichen PDF von Watchfire beschrieben. Über eine Cross-Site-Scripting (XSS) Lücke konnte dem Browser Javascript untergejubelt werden. In Kombination mit einer anderen XSS-Lücke der Google Suchmaschine selbst, konnten AngreiferInnen über XML-HTTP-Requests Anfragen an Google schicken, die auch die lokalen Ergebnisse eines bestimmten Rechners mitlieferten. Über eine Reihe von weiteren Schritten gelang es dann sogar Zugriff auf die lokale Festplatte zu erhalten und sogar Anwendungen darauf auszuführen.

Update

Mittlerweile hat der Hersteller das Problem beseitigt, ein entsprechendes Update kommt automatische auf die Rechner der BenutzerInnen. Ein manueller Download ist also nicht vonnöten. (red)

  • Bild nicht mehr verfügbar
Share if you care.