Cross Site Scripting in Google Mini Search Appliance möglich

Google hat einen Workaround für eine Sicherheitslücke in Google Mini Search Appliance zur Verfügung gestellt.

Derzeit existiert eine Sicherheitslücke in Google Mini Search Appliance. Diese lässt sich für Cross Site Scripting ausnutzen. Eingaben in den „ie“-Parameter werden nicht ausreichend überprüft, bevor diese an den Anwender zurückgegeben werden. Damit lässt sich beliebiger HTML- und Script-Code in die Browser-Session eines Anwenders einspeisen.

Die Experten von Secunia stellen folgendes Beispiel bereit: http://[site]/search?ie=[code]&site=x&output=xml_no_dtd'&client=x&proxystylesheet=x'. Google hat einen Workaround bereit gestellt, dieses Problem zu beheben (Login notwendig). (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner