Internet Explorer für Angriffsmöglichkeit mitverantwortlich

Große Cross-Site-Scripting-Lücke bei Google entdeckt

Eine XSS-Sicherheitslücke (Cross-Site-Scripting), mit der über Google Spreadsheets die gesamte google.com-Domain exponiert werden kann, hat der Sicherheitsexperte Bill Rios entdeckt. Damit wäre ein Zugriff auf sämtliche genutzten Google-Services eines Anwenders möglich, berichtet Rios in seinem Blog.

Die umfassende Gültigkeit von Google-Cookies und die Art, wie der Internet Explorer Content unterschiedlichen Typs darstellt, haben den Angriff ermöglicht. Die Information wurde nach Behebung der Lücke seitens Googles veröffentlicht.

Mittels der einen XSS-Lücke auf http://spreadsheets.google.com hätte er einem User massiv schaden können, berichtet Rios. Das liege daran, dass ein von Google abgelegtes User-Cookie für alle Sub-Domains gültig ist, so Rios. Wenn ein Hacker eine XSS-Lücke in irgendeiner der Sub-Domains findet, könne er die Sitzung eines Nutzers kapern und dann auf alle Services von Google zugreifen, als wäre er dieser Anwender. "Das ist ein sehr hohes Risiko für Anwender, da ein anderer User das nutzen kann, um vertrauliche Informationen zu erlangen", bewertet Luis Corrons, Technischer Direktor der PandaLabs von Panda Security die Lücke gegenüber pressetext. So sei es etwa möglich, auf alle E-Mails zuzugreifen und darin gefundene Daten wie Adressen oder Kontonummern zu verwerten.