Gravierendes Leck in Google Desktop gestopft

22.02.2007
Google hat ein Cross-Site-Scripting-Leck in seiner Desktop-Suche beseitigt. Nutzer sollten das Update bereits automatisch erhalten haben..

Publik gemacht wurde die Schwachstelle gestern von Experten der Security-Firma Watchfire aus Waltham, Massaschusetts. Demnach ließ sich Google Desktop via Cross-Site Scripting (XSS) missbrauchen, um Dateien von einem PC abzugreifen und die Surfgewohnheiten eines Nutzers auszuspähen. Der Angriff erfolgt über einen "parasitären Virus" in Form von JavaScript-Code. "Die Attacke ist praktisch nicht zu entdecken, kein Antivirus und keine Firewall merken etwas davon. Sie lässt sich mannigfaltig missbrauchen, um Endnutzer zu schädigen", warnt Watchfires Forschungschef Danny Allen. "Ein Angreifer kann damit alle Applikationen auf einem Rechner kontrollieren oder auf das Netz zugreifen, an das der PC angeschlossen ist. Und man wird die Schädling nur schwer wieder los."

Google wurde von Watchfire bereits am 4. Januar über das Problem informiert und ließ umgehend einen Patch entwickeln, der Anfang Februarautomatisch an die Nutzer von Google Desktop verteilt wurde. In die neueste Version der Software wurden zudem einige Vorsichtsmaßnahmen eingebaut, um vergleichbare Angriffe für die Zukunft auszuschließen. Google empfiehlt allen Nutzern, sicherheitshalber zu prüfen, ob sie die aktuellste Desktop-Version installiert haben, und dies andernfalls nachzuholen.

Der Gartner-Analyst John Pescatore bemängelt in diesem Zusammenhang, dass Google nicht - wie zum Beispiel Microsoft, Oracle oder Sun - regelmäßig Security-Bulletins herausgibt oder nähere Details zu Sicherheitsproblemen veröffentlicht, die bereits behoben sind. "Auch wenn Google kein Hersteller von Unternehmenssoftware ist, landen seine Programme, darunter auch Google Desktop, doch auf einer Menger Firmenrechnern", so der Gartner-Mann. "Anders als Microsoft macht Google seine Patches nicht öffentlich - wie soll eine Firma also wissen, ob ihre Mitarbeiter bereits mit der korrigierten Version arbeiten?" (tc)