Eine Schwachstelle in Googles Desktop-Suche gefährdet unter Umständen die Sicherheit von Anwendersystemen. Wie der Sicherheitsexperte Danny Allan von Watchfire zeigt, lässt sich eine Schwachstelle bei der Verarbeitung des Suchparameters under: ausnutzen, um beliebige Programme auf dem Rechner des Opfers zu starten. Voraussetzung dafür ist jedoch, dass ein Angreifer als Man-in-the-Middle die Netzwerkverbindung eines Rechners mit installierter Google-Toolbar kontrolliert und somit beliebigen JavaScript-Code einschleusen kann.
Grundlage des Angriffs ist laut Allan, dass die Desktop-Suche nach einem under:-Parameter angegebenen JavaScript-Code zwischenspeichert und auch für die drei folgenden Suchvorgänge ausführt. Da Googles Desktop-Suche bereits diverse Sicherheitsmaßnahmen implementiert, etwa einen Referrer-Check, musste Allan jedoch offenbar tief in die Trickkiste greifen, um die Schwachstelle erfolgreich auszunutzen. Durch eine Kombination einer XSS-Lücke in der Google-Seite und verschiedenen Browser-Tricks, etwa einem unter dem Mauszeiger nachgeführten IFrame zum Einfangen von Mausklicks, gelang es ihm aber offenbar, beliebige Programme zu starten.
Nach seinen Ausführungen lässt sich der Angriff derart unauffällig umsetzen, dass das Opfer nichts davon mitbekommt. Wie den Kommentaren seines Blogs zu entnehmen ist, war er jedoch nicht in der Lage, den Programmen beliebige Parameter zu übergeben, was die Gefährlichkeit des Angriffs erheblich einschränkt. Angesichts dessen und des zu betreibenden Aufwands sollte man das Problem wohl nicht überbewerten.
Die weiteren Details des Angriffes führt Allan in einer Präsentation sowie einem kurzen Film auf Google-Video aus.
Siehe dazu auch:
* Overtaking Google Desktop, Flash-Präsentation von Danny Allan zur Schwachstelle
* Google Desktop 0day, weitere Ausführungen von Allan zur Lücke
* Google Desktop 0day, Videodemonstration der Schwachstelle
Quelle und Links :
http://www.heise.de/security/news/meldung/90528
