Große Cross-Site-Scripting-Lücke bei Google entdeckt

Internet Explorer ermöglicht Angriff

Den Angriff auf Google Spreadsheets habe in diesem Fall der Internet Explorer (IE) ermöglicht. In einem bestimmten Format gespeicherte Spreadsheets werden dem Browser gegenüber durch den sogenannten "content-type"-Header eigentlich als einfacher Text identifiziert und sollten auch so dargestellt werden. Ist am Anfang der Datei aber HTML-Code eingebaut, verarbeitet der IE die Datei als HTML. Durch dieses sogenannte "Content-Type-Sniffing" konnte Rios ein eingebautes Skript ausführen. Google versuche zwar, vor derartigen Manipulationen zu schützen, berichtet Rios, diese hätten aber bei seinem Spreadsheets-Angriff versagt.

Auch PandaLabs sieht den IE mitverantwortlich für die Lücke. " In diesem Fall können nicht alle Browser genutzt werden", meint Corrons. Unter bestimmten Umständen wird der Content-Type-Header von Dateien aber auch bei Firefox, Opera oder Safari ignoriert, wie eine Analyse des Sicherheitsexperten Blake Frantz von Leviathan Security zeigt. Allerdings ist der IE der größte Sünder im Bereich Content-Type-Sniffing. Entwickler sollten sich dieser Tatsache und der Nuancen des Umgangs von Browsern mit diesen Headern bewusst sein, damit ihre Web-Anwendungen nicht gegenüber XSS-Angriffen verwundbar werden, warnt Rios im Blog-Eintrag.

Die vorgestellte Sicherheitslücke in Google Spreadsheets ist allerdings laut den Experten kein Grund zur Sorge mehr. Google bestätigt gegenüber pressetext, dass die Lücke bereits geschlossen ist. Dennoch warnt Panda aus gegebenem Anlass vor dem Versand vertraulicher Informationen in E-Mails. "E-Mails können abgefangen werden, wie wir in diesem Fall sehen, und kein Produkt kann davon 100-prozentig sicher sein", betont Corrons. (pte/mzu)