[Blockierte Grafik: http://www.google.de/logos/winter_holiday05_4.gif] schließt Sicherheitslücke
Google hat eine nicht unerhebliche Sicherheitslücke beseitigt, die sich u. a. für Phishing-Attacken, Account-Hijacking oder simplen Datenklau geeignet hätte...
Dieser sogenannte Cross-Site-Scripting-Angriff ließ sich nur durchführen, da Google den Schutzmechanismus für zwei Fehlerseiten nicht genügend abgesichert hatte. Das zumindest sagen Sicherheitsexperten von Watchfire. Potentielle Angreifer hätten somit diese Lücke für Phishing-Attacken oder eben Datendiebstahl ausnutzen können, sagte der Director of Security Research, Mr. Ory Segal.
Segal sagte weiterhin: „Als wir uns die Google-Seite angeschaut haben, sahen wir, dass die Security sehr gut ist. Aber es sah aus als hätten sie diese obskure Variante des Cross-Site-Scripting nicht berücksichtigt.“ Google bestätigte, dass sie bereits vor einiger Zeit informiert wurden. Benutzerdaten seien aber davon nicht betroffen gewesen. Weiterhin bedankte sich Google für die vorbildliche Vorgehensweise seitens Watchfire im Umgang mit dieser bedenklichen Sicherheitslücke.
Ob tatsächlich Schaden angerichtet wurde weiß wohl niemand so genau...oder?
Quelle: [Blockierte Grafik: http://www.watchfire.com/images/watchfirelogo.gif] http://www.watchfire.com http://www.tecchannel.de