Thema: Bilderklau durch Schwachstelle in Googles Picasa

[SiLæncer]

Die Hauptprotagonisten rund um die URI-Lücken in Firefox und Windows haben sich Google zur Brust genommen: Billy Rios und Nate McFeters haben in ihrem Blog einen Weg beschrieben, wie Anwendern von Googles Fotoalben-Software Picasa die gesammelten Bilder von der Festplatte stibitzt werden können. Mit einer Kombination aus Cross-Application-Scripting, Cross-Site-Scripting, URI-Tricks und einem Flash mit ActionScript soll es ihnen gelungen sein, Bilder vom PC auf einen manipulierten Webserver zu laden.

Hauptursache der Schwachstelle soll wie zuvor bei ähnlichen Problemen anderer Anwendungen sein, dass Picasa bei der Installation die URI picasa:// registriert. Damit wird es von Webseiten ansprechbar und in Teilen steuerbar. Das haben sich Rios und McFeters zunutze gemacht, um ihrem Client beim Besuch einer präparierten Webseite ein wichtiges verfügbares Picasa-Update vorzugaukeln – ein gefälschter Button soll den Download anstoßen. Dabei wird der Anwender aber nicht auf die Seiten von Google geleitet, sondern auf einen bösartigen Server, der die Bilder von der Platte kopiert. Da dies etwas Zeit in Anspruch nimmt, täuscht ein gefälschter Update-Fortschrittsbalken einen Download von Googles Picasa-Homepage vor.

Laut Rios und McFeters ist der Angriff recht komplex und besteht aus mehreren Schritten, wofür mehrere Skripte notwendig sind. Die meisten der von Rob Carter geschriebenen Skripte haben sie sogar öffentlich zur Verfügung gestellt. In ihrem Bericht über die Lücke haben sie eine Fotoserie veröffentlicht, die den Ablauf eines Angriffs verdeutlichen soll. Eine Lösung des Problems ist nicht in Sicht, auch die Deregistrierung der URI bringt keine echte Hilfe, da dann laut Rios wichtige Abläufe in Picasa nicht mehr funktionieren.

Damit würden Googles Probleme ohnehin noch nicht enden. Berichten zufolge steckt in der Install-Version Google Urchin von Google Analytics eine Cross-Site-Scripting-Lücke, mit der Webseiten auf einfache Weise die Google-Login-Daten auslesen können. Ein Video soll die Wirkungsweise eines Exploit vorführen. Google ist laut Bericht seit dem 25. Juli über die Schwachstelle informiert und soll an einer Lösung arbeiten.

Des Weiteren gibt es Meldungen über eine XSS-Schwachstelle in Googles Search Appliance. Bei der Appliance handelt es sich um ein skalierbares Hard- und Software-Paket für größere Unternehmen, die damit in ihren internen Netzwerken und für öffentliche Webseiten eine Suchmaschine betreiben können. Eine derartige Lücke ließe sich etwa ausnutzen, um die bei Anwendern angezeigten Suchergebnisse zu manipulieren.

Schließlich ließen sich mit XSS-Schwachstellen auf Google.com Kontakte und Nachrichten aus Gmail-Konten auslesen. Die Fehler sind mittlerweile behoben. Die Ursache war nach Angaben des Entdeckers der Schwachstellen die fehlende Filterung von STYLE-Tags.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsdienstleister Secunia berichtet von einer Lücke in Googles Bildverwaltungs- und Bearbeitungssoftware Picasa, durch die Angreifer einen Windows-Recher kompromittieren können. Laut Bericht soll sich in der Datei PicasaPhotoViewer.exe mit präparierten JPG-Bilder ein Integer Overflow provozieren lassen, was im Weiteren gezielt zu einem Heap Overflow führen kann. Darüber kann der Angreifer wiederum eigenen Code einschleusen und mit den Rechten des Anwenders ausführen. Das hat bislang aber offenbar noch niemand vollständig in der Praxis getestet; einen Exploit gibt es dafür nicht.

Betroffen ist PicasaPhotoViewer 3.6.95.25, wie er im Lieferumfang von Google Picasa 3.6 build 95.25 enthalten ist. Frühere Versionen sind vermutlich ebenfalls betroffen. Google hat die Lücke laut Bericht in der kürzlich veröffentlichten Version Picasa 3.6 build 105.41 geschlossen. In den Release Notes von Google ist dazu allerdings nichts zu finden. Als einzige Änderung führt Google darin nur auf, dass die neue Picasa-Version nun 38 Sprachen unterstützt.

Quelle : www.heise.de