Die Schwachstelle lässt sich von böswilligen Anwendern ausnutzen, um so genannte Cross-Site-Scripting-Angriffe auszuführen. Der Auslöser dafür ist, dass Google Gears Scripts von externen Seiten vor der Ausführung nicht ausreichend überprüft. Somit könnte sich beliebiger Gears-Code in der Browser-Sitzung eines Anwenders ausführen lassen.
Ein erfolgreicher Angriff setzt voraus, dass man Dateien auf der Ziel-Domäne einpflegen darf. Laut dieser Sicherheitsanweisung sind alle Versionen vor 0.5.4.2 betroffen. Die Entwickler raten zu einem Update auf die aktuellste Variante. (jdo)