Unsichere Seiten für Fehlermeldungen erlaubten Zugriffe auf Benutzerdaten.
Der Suchmaschinenbetreiber Google (
http://www.google.com) hat mehrere Sicherheitslücken geschlossen. Watchfire berichtete in dieser Woche in einer Sicherheitsempfehlung über Schwachstellen in bestimmten Google-Seiten, durch die Daten ausspioniert werden konnten.
Bei den Sicherheitslücken handelt es sich um so genannte XSS-Anfälligkeiten (Cross Side Scripting). Das bedeutet, dass durch geschickte Manipulationen Script-Code von fremden Websites im Kontext von Google-Seiten ausgeführt werden konnte - oder dass zumindest ein solcher Eindruck bei Anwendern entstehen konnte. So konnten unter anderem Daten angemeldeter Benutzer von Google-Diensten (etwa Gmail) ausspioniert werden.
Genutzt wurden diese Schwächen ferner für Phishing-Angriffe und zum massenhaften Anlegen von Benutzerkonten bei kostenlosen Mail-Diensten ( wir berichteten durch Spammer. Zu erkennen waren solche Aktionen an Links, die ein Element wie "http://w*w.google.com/url?q=http://www.[Domain]" enthielten, wobei nicht nur Google.com, sondern auch Google-Domains in verschiedenen Ländern verwendet wurden.
Möglich wurden derartige Angriffe durch eine Nachlässigkeit von Google bei Seiten für Fehlermeldungen, etwa die für den "404 - Seite nicht gefunden". Im Zusammenspiel zwischen der Eigenart des Internet Explorers die Zeichenkodierung UTF-7 automatisch zu verwenden, falls in den ersten 4096 Zeichen einer Seite so kodierte Zeichen auftauchen, und der fehlenden Angabe der zu verwendenden Zeichenkodierung in den Google-Fehlerseiten konnte UTF-7-kodierter Script-Code ausgeführt werden.
Google hat nun die Seiten so geändert, dass die Zeichenkodierung in den Seiten vorgegeben wird. Dies geschieht zum Beispiel mit einer Zeile im HEAD-Bereich einer Seite, die so aussehen kann:
<META HTTP-EQUIV="Content-Type" CONTENT="text/HTML; charset=iso-8859-1">. Eine solche Angabe fehlte bis dahin in den anfälligen Fehlerseiten.
Quelle :
www.pcwelt.de
