Google hat eine Sicherheitslücke in seiner Desktop-Anwendung Google Desktop geschlossen, mit der es Angreifern möglich gewesen sein soll, Daten auf der Festplatte auszuspähen. Sogar die Kontrolle des gesamten Rechners aus der Ferne soll so machbar gewesen sein. Google Desktop verknüpft die Suche auf der Suchmaschine Google im Web mit lokal abgelegten Daten. Dabei liest Google Desktop den Suchbegriff mit und baut in die von Google zurückgelieferten Antwort selbständig die lokalen Suchergebnisse ein -- für den Anwender sieht das Ergebnis fast wie eine normale Google-Suche aus.
Nach Angaben des Hersteller Watchfire beruht die nun gefundene Lücke auf einer Cross-Site-Scripting-Schwachstelle in der Auswertung eines Parameters in der Desktop-Suche, über die dem Browser JavaScript untergejubelt werden kann. Zuvor war allerdings noch das Ausnutzen einer weiteren XSS-Lücke in der Google-Suchmaschine oder einer Anwendung in der Domain google.com notwendig. Damit war es einem Angreifer dann möglich, im Hintergrund über XML-HTTP-Requests Suchanfragen an Google zu schicken, in deren Antworten Google Desktop die lokalen Treffer einbaute. Mit weiteren Schritten gelang dann der Zugriff auf die Daten auf der Festplatte. In dem Dokument "Overtaking Google Desktop" (PDF) beschreiben die Sicherheitsspezialisten von Watchfire nicht nur Schritt für Schritt, wie man den Fehler genau ausnutzen konnte, sondern was man drüber hinaus anstellen konnte, wenn man erst einmal ein bösartiges JavaScript auf einem PC platziert hatte. Sogar Anwendungen ließen sich darüber starten.
Google hat Medienberichten zufolge zusätzliche Überprüfungen in die Desktop-Suche eingebaut, um solche Angriffe künftig zu unterbinden.
Schon im Dezember 2004 war es durch eine Lücke in Google Desktop möglich gewesen, die Festplatte eines Opfers über das Internet zu durchsuchen und Teile von Dateien einzusehen.
Siehe dazu auch:
* Overtaking Google Desktop, Fehlerbericht von Watchfire
Quelle und Links :
http://www.heise.de/security/news/meldung/85669
