117886

Google schließt weitere Sicherheitslücken

23.12.2005 | 14:31 Uhr |

Unsichere Seiten für Fehlermeldungen erlaubten Zugriffe auf Benutzerdaten.

Der Suchmaschinenbetreiber Google (http://www.google.com) hat mehrere Sicherheitslücken geschlossen. Watchfire berichtete in dieser Woche in einer Sicherheitsempfehlung über Schwachstellen in bestimmten Google-Seiten, durch die Daten ausspioniert werden konnten.

Bei den Sicherheitslücken handelt es sich um so genannte XSS-Anfälligkeiten (Cross Side Scripting). Das bedeutet, dass durch geschickte Manipulationen Script-Code von fremden Websites im Kontext von Google-Seiten ausgeführt werden konnte - oder dass zumindest ein solcher Eindruck bei Anwendern entstehen konnte. So konnten unter anderem Daten angemeldeter Benutzer von Google-Diensten (etwa Google-Mail) ausspioniert werden.

Genutzt wurden diese Schwächen ferner für Phishing-Angriffe und zum massenhaften Anlegen von Benutzerkonten bei kostenlosen Mail-Diensten ( wir berichteten durch Spammer. Zu erkennen waren solche Aktionen an Links, die ein Element wie "http://www.google.com/url?q=http://www.[Domain]" enthielten, wobei nicht nur Google.com, sondern auch Google-Domains in verschiedenen Ländern verwendet wurden.

Möglich wurden derartige Angriffe durch eine Nachlässigkeit von Google bei Seiten für Fehlermeldungen, etwa die für den "404 - Seite nicht gefunden". Im Zusammenspiel zwischen der Eigenart des Internet Explorers die Zeichenkodierung UTF-7 automatisch zu verwenden, falls in den ersten 4096 Zeichen einer Seite so kodierte Zeichen auftauchen, und der fehlenden Angabe der zu verwendenden Zeichenkodierung in den Google-Fehlerseiten konnte UTF-7-kodierter Script-Code ausgeführt werden.

Google hat nun die Seiten so geändert, dass die Zeichenkodierung in den Seiten vorgegeben wird. Dies geschieht zum Beispiel mit einer Zeile im HEAD-Bereich einer Seite, die so aussehen kann:
<META HTTP-EQUIV="Content-Type" CONTENT="text/HTML; charset=iso-8859-1">. Eine solche Angabe fehlte bis dahin in den anfälligen Fehlerseiten.

0 Kommentare zu diesem Artikel
117886