Problematisch
Einmal mehr ergibt sich die Problematik daraus, dass Google die Desktop-Suche mit der Online-Suche verbindet. Eigentlich sollte dabei zwar sichergestellt sein, dass keine lokalen Daten ins Internet verschickt werden, genau dieser Schutz ließ sich nun aber austricksen.
Erläuterung
Die konkrete Vorgangsweise wird dabei in einem ausführlichen PDF von Watchfire beschrieben. Über eine Cross-Site-Scripting (XSS) Lücke konnte dem Browser Javascript untergejubelt werden. In Kombination mit einer anderen XSS-Lücke der Google Suchmaschine selbst, konnten AngreiferInnen über XML-HTTP-Requests Anfragen an Google schicken, die auch die lokalen Ergebnisse eines bestimmten Rechners mitlieferten. Über eine Reihe von weiteren Schritten gelang es dann sogar Zugriff auf die lokale Festplatte zu erhalten und sogar Anwendungen darauf auszuführen.
Update