Ein israelischer Hacker hat auf einen Fehler in Microsofts Internet Explorer (IE) hingewiesen, durch den lokal gespeicherte Daten von Anwendern für einen Angreifer sichtbar sein können. Dafür muss allerdings "Google Desktop" auf dem Rechner installiert sein. "Ein erfahrener Angreifer kann im Verborgenen die Festplatten nach Informationen wie Passwörtern oder Kreditkartennummern durchforsten", warnt Matan Gillon in einem via E-Mail geführten Interview. Da Google auch E-Mail indexiert, die im Web-Interface gelesen werden, könne er unter Umständen auch auf diese zugreifen.

Möglich wird die Attacke durch einen Fehler bei der Verarbeitung von Cascading Style Sheets (CSS) durch den Browser. Damit sie funktioniert, muss der Anwender jedoch dazu gebracht werden, zunächst eine präparierte Website aufzurufen. In seinem Blog erklärt der Spezialist die genaue Funktionsweise des von ihm als Cascading Style Sheets Cross Site Scripting (CSSXSS) bezeichneten Angriffs.

Dazu gehört unter anderem, dass der für das Aufrufen der lokalen Suche notwendige Schlüssel mit Hilfe der News-Seite von Google gesucht wird. Die Wirkungsweise dieses Konzepts demonstrierte der Experte über eine Proof-of-concept-Seite. Google hat die entsprechenden Sites jedoch inzwischen gepatcht, so dass das Zugraifen auf die lokale Suche auf diese Weise nun nicht mehr möglich ist. (ave)