Google hat mit zwei Jahren Verspätung eine Sicherheitslücke in seinem Suchdienst geschlossen. Wie der Experte Jim Ley auf der Mailingliste Bugtraq berichtete, konnten Hacker Javascript-Code in die Adresszeile von Google einschleusen. Damit war es möglich, die Suchanfrage zu manipulieren, etwa Suchbegriffe und -ergebnisse zu stehlen oder den Nutzer auf eine modifizierte Ergebnisseite zu locken. Wie das funktioniert, demonstriert Ley in einem Beispiel, bei dem anstelle der Resultate eine Seite mit dem Hinweis erscheint, dass Google nun ein gebührenpflichtiger Dienst sei. Voraussetzung ist allerdings, dass der Browser Javascript unterstützt.

Ley zufolge existiert dieses Sicherheitsleck bereits seit zwei Jahren. Google sei mehrmals über diese Schwachstelle informiert worden. Reagiert hat die Company aber offenbar erst, als bekannt wurde, dass das Leck auch bei der kürzlich vorgestellten Desktop-Suche existiert. (mb)