Google schließt Sicherheitsloch in Google Mail

Die Unix-Community HBX Networks hat den Fehler entdeckt. Software-Spezialisten hatten ein Perl-Script geschrieben, mit dem sich Newsletter versenden lassen. Dabei stellten die HBX-Mitglieder erstaunt fest, dass Nachrichten, die an die E-Mail-Adresse ihrer Community versandt wurden, HTML-Code im "Reply-To"-Feld enthielten, in dem das Inhaltsfeld (Message Body) von Mails anderer Google Mail-Anwender auftauchte. Auslöser war offenbar ein fehlendes ">" in den "From"-Feldern der von dem Perl-Script erzeugten Mails.

Laut Google ist die Sicherheitslücke seit Mittwoch gefixt. Die Firma ermuntert User, Fehler und Bugs an security@google.com zu melden. HBX fürchtet, es könnten noch weitere solcher Bugs in Google Mail verborgen sein.

Google Mail befindet sich noch im Beta-Stadium, erfreut sich aber unter anderem wegen der üppigen Speicherkapazität von 1 GByte großer Beliebtheit. Konkurrierende Anbieter solcher Dienste stockten daraufhin ihr Speicherangebot auf, darunter Microsoft (MSN Hotmail) und Yahoo (Yahoo Mail).

Sicherheitsprobleme bei webbasierenden E-Mail-Diensten sind grundsätzlich nichts Neues. So gelang es Spezialisten der Firma Greymagic Software im März 2004, MSN Hotmail und Yahoo Mail zu überrumpeln. Über selbst geschriebene Scripts schaffte man es, Restriktionen zum Ausführen von Script-Code zu umgehen. Mit den in E-Mails eingebetteten Routinen waren die Programmierer in der Lage, Passwörter von Nutzern zu stehlen und Würmer zu verbreiten. Auch diese Sicherheitslücke wurde inzwischen beseitigt. (Frank Niemann/uba)

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download.