Web

Google schließt Sicherheitloch in Gmail

14.01.2005

MÜNCHEN (COMPUTERWOCHE) - Der Suchmaschinenbetreiber Google hat einen Bug in dem kostenlosen E-Mail-Dienst "Gmail" beseitigt. Der Fehler hatte es Anwendern ermöglicht, Inhalte von anderen Gmail-Nutzern zu lesen.

Die Unix-Community HBX Networks hat den Fehler entdeckt. Softwarespezialisten hatten ein Perl-Script geschrieben, mit dem sich Newsletter versenden lassen. Dabei stellten die HBX-Mitglieder erstaunt fest, dass Nachrichten, die an die E-Mail-Adresse ihrer Community versand wurden, HTML-Code im Reply-To-Feld enthielten, in dem das Inhaltsfeld (Message Body) von Mails anderer Gmail-Anwender auftauchten. Auslöser war offenbar ein fehlendes ">" in den "From"-Feldern der von dem Perl-Script erzeugten Mails.

Laut Google ist die Sicherheitslücke seit Mittwoch gefixt. Die Firma ermuntert User, Fehler und Bugs an security@google.com zu melden. HBX fürchtet, es könnten noch weitere solcher Bugs in Gmail verborgen sein.

Gmail befindet sich noch im Betastadium, erfreut sich aber unter anderem wegen der üppigen Speicherkapazität von einem Gigabyte großer Beliebtheit. Konkurrierende Anbieter solcher Dienste stockten daraufhin ihr Speicherangebot auf, darunter Microsoft ("MSN Hotmail") und Yahoo ("Yahoo Mail").

Sicherheitsprobleme bei Web-basierenden E-Mail-Diensten sind grundsätzlich nichts Neues. So gelang es Spezialisten der Firma Greymagic Software im März 2004, MSN Hotmail und Yahoo Mail zu überrumpeln. Über selbst geschriebene Scripts gelang es, Restriktionen zum Ausführen von Script-Code zu umgehen. Mit den in E-Mails eingebetteten Routinen waren die Programmierer in der Lage, Passwörter von Nutzern zu stehlen und Würmer zu verbreiten. Auch diese Sicherheitslücke wurde inzwischen beseitigt. (fn)