156960

Passwörter googeln: Monat der Suchmaschinen-Bugs

05.07.2007 | 17:13 Uhr |

Der Betreiber eines ukrainischen Blogs hat im Juni einen wenig beachteten "Monat der Suchmaschinen-Bugs" veranstaltet. Dabei hat er mehr als 100 Schwachstellen in über 30 Suchmaschinen veröffentlicht.

In seinem Blog mit dem Titel "Websecurity" hat eine Hobby-Forscher unter dem Pseudonym "MustLive" eine Sammlung von Sicherheitslücken in etlichen Suchmaschinen zusammen getragen, die er überwiegend selbst entdeckt haben will. Unter den beteiligten Suchdiensten sind neben bekannten Namen wie Google, MSN, Yahoo, Ask.com, AOL oder Netscape auch weniger bekannte Suchportale sowie Meta- und lokale Suchmaschinen, insgesamt 33 mit 19 verschiedenen Betreibern.

Der Monat der Suchmaschinen-Bugs ("MOSEB") hat über 100 mehr oder weniger schwer wiegende Schwachpunkte erbracht. Es handelt sich überwiegend um so genannte XSS-Bugs, also Angriffsmöglichkeiten mittels Cross-Site-Scripting. Sie können zum Beispiel durch einen Link auf einer Website, in einem Blog, einem Forumsbeitrag oder auch in einer Mail ausgenutzt werden.

Der Link übergibt Script-Code in Form zusätzlicher Parameter an das anfällige Script der Suchmaschine. Dieses führt den Code aus und bindet zum Beispiel externe Web-Inhalte ein oder gibt Informationen preis. So lassen sich etwa mit Hilfe von Google FTP-Passwörter von YouTube-Nutzern heraus finden.

Von den 104 entdeckten und an die Suchmaschinenbetreiber gemeldeten Fehlern sind nach Angabe von "MustLive" bislang 44 beseitigt worden. Dabei haben Microsoft und Yahoo zum Teil sehr schnell reagiert, Google hingegen noch gar nicht. Von den 19 Betreibern der Suchdienste hätten sich lediglich zwei für die Hinweise auf Sicherheitslücken bedankt, wie "MustLive" sauertöpfisch anmerkt. Allerdings hat er die Betreiber auch lediglich auf ihre Teilnahme am MOSEB-Projekt hingewiesen, nicht auf einzelne Schwachstellen. Diese mussten sie sich selbst aus dem Projekt-Blog heraus suchen.

Die möglichst schnelle Beseitigung von gemeldeten Sicherheitslücken hat jedoch auch ihre Tücken, sodass im Einzelfall durchaus mehrere Wochen ins Land gehen können, bis ein Fehler ausgeräumt ist ohne die erwünschte Funktionalität zu beeinträchtigen oder neue Schwachstellen einzubauen.

0 Kommentare zu diesem Artikel
156960