Eine Reihe von Unternehmen bieten Desktop-Suchmaschinen an, so auch Google. Anwender, die Google Desktop nutzen, können so schnell und bequem ihr System nach bestimmten Dateien wie Mails, Dokumente oder Videos durchsuchen. Dabei ist das Programm mit der Online-Suche von Google verknüpft. Besuchen Sie also google.de und haben Sie Google Desktop installiert, erhalten Sie bei einer Suche alle relevanten Treffer im Web sowie alle passenden Dateien auf Ihrem Rechner angezeigt. Diese enge Verzahnung zwischen der Desktop-Software und dem Web-Angebot ist aber gerade dann gefährlich, wenn die Applikation anfällig für Cross-Site-Scripting ist. Und dies ist bei Google Desktop der Fall, wie die Sicherheitsspezialisten von Watchfire melden.
Demnach könnte ein Angreifer die Lücke ausnutzen, indem er Anwender auf eine präparierte Website lotst, ihm eine infizierte Mail schickt oder ihn zu einem mit dem Angriff versehenen RSS-Feed lockt. In der Folge hätte der Angreifer vollen Zugriff auf alle persönlichen Dokumente des Opfers gehabt. Eine ausführliche Beschreibung dieser Lücke finden Sie auf dieser Website von Watchfire (PDF-Dokument, englischsprachig). "Ich kann mit Sicherheit sagen, dass dies die schwerste Lücke ist, die wir bislang bei Google (...) gefunden haben", so Mike Weider, CTO bei Watchfire.
Aktuelle Version von Google Desktop installieren
Google hat die Lücke mittlerweile mit einem Patch behoben. Laut Unternehmen soll das Update automatisch installiert werden. Watchfire widerspricht dieser Aussage: "Google behauptet, dass es automatisch geschieht. Aber dies geschah weder bei mir noch bei anderen Kollegen von Watchfire, als wir es ausprobierten", so Weider. Und weiter: "Es sieht so aus, als gäbe es Fälle, bei denen nicht automatisch aktualisiert wird."
Google erklärte hinsichtlich der Lücke folgendes: "Wir haben der neuesten Version von Google Desktop eine weitere Ebene von Sicherheits-Checks hinzugefügt, um Anwender vor ähnlichen Angriffen in der Zukunft zu schützen. Wir haben keine Berichte erhalten, dass diese Lücke ausgenutzt wurde. Dennoch sollten Anwender sicherstellen, dass sie die aktuelle Version von Google Desktop installiert haben."
Laut Weider bleibt abzuwarten, ob der Schutz von Dauer ist. So könnten neue Cross-Site-Scripting-Techniken die aktuellen Schutzmaßnahmen wieder umgehen. Am sichersten wäre es, wenn Google es den Anwendern gestatten würde, Google Desktop als reine Offline-Suche betreiben zu können. (PC Welt/mje)