Internet Explorer für Angriffsmöglichkeit mitverantwortlich
Große Cross-Site-Scripting-Lücke bei Google entdeckt
Die umfassende Gültigkeit von Google-Cookies und die Art, wie der Internet Explorer Content unterschiedlichen Typs darstellt, haben den Angriff ermöglicht. Die Information wurde nach Behebung der Lücke seitens Googles veröffentlicht.
Mittels der einen XSS-Lücke auf http://spreadsheets.google.com hätte er einem User massiv schaden können, berichtet Rios. Das liege daran, dass ein von Google abgelegtes User-Cookie für alle Sub-Domains gültig ist, so Rios. Wenn ein Hacker eine XSS-Lücke in irgendeiner der Sub-Domains findet, könne er die Sitzung eines Nutzers kapern und dann auf alle Services von Google zugreifen, als wäre er dieser Anwender. "Das ist ein sehr hohes Risiko für Anwender, da ein anderer User das nutzen kann, um vertrauliche Informationen zu erlangen", bewertet Luis Corrons, Technischer Direktor der PandaLabs von Panda Security die Lücke gegenüber pressetext. So sei es etwa möglich, auf alle E-Mails zuzugreifen und darin gefundene Daten wie Adressen oder Kontonummern zu verwerten.