Cross-Site-Scripting bei Google Maps möglich

Wie auf der Sicherheitsliste „Full Disclosure“ gemeldet wurde, existiert eine Cross-Site-Scripting-Schwachstelle in Google Maps. Mit folgender URL lässt sich beispielsweise Scriptcode in die Browsersitzung einspeisen:

http://maps.google.com/maps?f=q&source=s_q&hl=en&geocode=&q=%3Cscript%3Ealert(%22Hello%20World%20!%22)%3C/script%3E&vps=1&sll=29.613554,77.20906&sspn=0.019136,0.013797&ie=UTF8

Das im Link enthaltene Script „alert(„Hello World“) führt zur Ausgabe dieser Zeichenkette in einem Popup-Fenster. Alternativ lässt sich natürlich auch anderer Scriptcode einspeisen, beispielsweise Code, der die vorhandene Session-ID auf die Website eines Angreifers überträgt und ihm dadurch ermöglicht, die Session des attackierten Benutzers auf Google zu übernehmen.

Ergänzung: Momentan quittiert Google den XSS-Angriff mit der Meldung:

We’re sorry…but your computer or network may be sending automated queries. To protect our users, we can’t process your request right now.

Wie ein händischer Versuch des XSS-Angriffs zeigte, scheint Google bereits an der Lösung des Problems zu arbeiten – er scheiterte nämlich eben. (vgw)