Der bekannte Hacker Petko Petkov veröffentlichte in seinem Blog eine Möglichkeit, mit präparierten Webseiten Nutzern von Google Mail während einer aktiven Webmail-Sitzung Schadcode unterzuschieben. Konkret zu der Schwachstelle äußern will sich Petkov erst, wenn Google die Lücke geschlossen hat. Ersten Angaben zufolge ließen sich aber mit Hilfe von Session Riding Filtereinstellungen des Mail-Kontos verändern. Dadurch sei es beispielsweise möglich, eingehende Mails automatisch an ein anderes Konto weiterzuleiten und so den gesamten Nachrichtenverkehr zu überwachen. Sei der Filter erst einmal gesetzt, gelte das auch, wenn sich der Anwender wieder von seinem Mailkonto abgemeldet habe, so Petkov.
In Googles Fotoalben-Software Picasa gibt es laut der Sicherheitsexperten Billy Rios und Nate McFeters eine Lücke, durch die Angreifer Bilder von der Festplatte des Anwenders stehlen können. Auslöser der Schwachstelle sei die URI (Uniform Resource Identifier)-Lücke in vielen Windows-Anwendungen, die die beiden vor einiger Zeit entdeckt hatten. Weil Picasa bei der Installation die URI picasa:// registriere, sei die Anwendung teilweise mit Hilfe des Webbrowsers ansprech- und manipulierbar, so Rios und McFeters. Zum Beweis täuschten sie dem Programm mit einer präparierten Website vor, dass dort ein wichtiges Picasa-Update verfügbar ist. Entscheidet sich der Nutzer zum Download, gelangt er auf eine weitere Website, die durch eine Kombination aus Flash mit ActionScript und Cross-Application-Scripting die Picasa-Fotoalben auf einen fremden Server kopiert. Ein falscher Fortschrittsbalken lässt den Anwender derweil glauben, er lade sich das Update vom Google-Server. Rios und McFeters haben eine Bilderserie veröffentlicht, die ihr Vorgehen demonstriert. Eine Lösung des Problems gibt es bislang nicht: Die Deregistrierung der URI hilft laut Rios nichts, da die Software dann nicht mehr funktioniere. Als einzige Möglichkeit bleibt deshalb vorerst nur eine komplette Deinstallation.
Auch die lokale Variante des Webtraffic-Analysetools Google Analytics namens Google Urchin ist von einer Sicherheitslücke betroffen. Petkov zeigt in seinem Blog, wie durch die Ausnutzung einer Cross-Site-Scripting-Lücke in der Installationsroutine der Software die Login-Daten für Google-Konten durch Dritte ausgelesen werden können. Petkov hat Google nach eigenen Angaben bereits am 25. Juli über die Schwachstelle informiert, einen Patch gibt es bisher jedoch nicht.
Auch die Google Search Appliance weist eine Schwachstelle auf. Das Hard- und Softwarepaket ist für größere Unternehmen gedacht, die in ihren internen Netzwerken und Webseiten eine eigene Suchmaschine einbinden wollen. Berichten zufolge handelt es sich auch hier um eine Cross-Site-Scripting-Lücke, die sich unter anderem nutzen ließe, um die angezeigten Suchergebnisse zu verändern.
Ein weiteres in dieser Woche bekannt gewordenes Sicherheitsleck betrifft erneut Google Mail. Wegen einer fehlenden Filterung von STYLE-Tags im Quellcode der Web-Applikation lassen sich Kontakte und Nachrichten unautorisiert auslesen. Zumindest dieses Loch hat Google mittlerweile geschlossen. (sh)