Google stopft Sicherheitslücke in Google Desktop

Google Desktop, die Desktop-Suchmaschine des Suchmaschinengiganten, ist anfällig für Cross-Site-Scripting. Angreifer könnten darüber vollen Zugriff auf sensible Daten wie Mails, Dokumente oder Multimedia-Dateien auf dem System des Opfers erhalten.

Eine Reihe von Unternehmen bieten Desktop-Suchmaschinen an, so auch Google. Anwender, die Google Desktop nutzen, können so schnell und bequem ihr System nach bestimmten Dateien wie Mails, Dokumente oder Videos durchsuchen. Dabei ist das Programm mit der Online-Suche von Google verknüpft. Besuchen Sie also google.de und haben Sie Google Desktop installiert, erhalten Sie bei einer Suche alle relevanten Treffer im Web sowie alle passenden Dateien auf Ihrem Rechner angezeigt. Diese enge Verzahnung zwischen der Desktop-Software und dem Web-Angebot ist aber gerade dann gefährlich, wenn die Applikation anfällig für Cross-Site-Scripting ist. Und dies ist bei Google Desktop der Fall, wie die Sicherheitsspezialisten von Watchfire melden.

Demnach könnte ein Angreifer die Lücke ausnutzen, indem er Anwender auf eine präparierte Website lotst, ihm eine infizierte Mail schickt oder ihn zu einem mit dem Angriff versehenen RSS-Feed lockt. In der Folge hätte der Angreifer vollen Zugriff auf alle persönlichen Dokumente des Opfers gehabt. Eine ausführliche Beschreibung dieser Lücke finden Sie auf dieser Website von Watchfire (PDF-Dokument, englischsprachig). "Ich kann mit Sicherheit sagen, dass dies die schwerste Lücke ist, die wir bislang bei Google (...) gefunden haben", so Mike Weider, CTO bei Watchfire.