News

Cross-Site-Scripting-Lücke in Google-Services

Der Sicherheitsexperte Bill Rios hat eine XSS-Sicherheitslücke (Cross Site Scripting) entdeckt, mit der über die Google Spreadsheets die gesamte google.com-Domain missbraucht werden kann.

Damit sei ein Zugriff auf sämtliche Google-Services eines Anwenders möglich, berichtete Rios in seinem Blog. Die umfassende Gültigkeit der ‚Google Cookies‘ und die Art, wie der Internet Explorer Content unterschiedlichen Typs darstelle, hätten den Angriff ermöglicht.

Rios veröffentlichte die Informationen erst, nachdem Google die Lücke behoben hatte. Über das Leck habe er einem Anwender massiv schaden können, so der Experte. Das liege daran, dass ein von Google abgelegtes Nutzer-Cookie für alle Sub-Domains gültig ist. Wenn ein Hacker eine XSS-Lücke in einer der Sub-Domains finde, könne er die Sitzung eines Nutzers „kapern“ und dann auf alle Services von Google zugreifen, als wäre er dieser Anwender.

Den Angriff auf die Google Spreadsheets habe in diesem Fall der Internet Explorer (IE) ermöglicht. In einem bestimmten Format gespeicherte Spreadsheets würden dem Browser gegenüber durch den sogenannten ‚Content Type Header‘ eigentlich als einfacher Text dargeboten und sollten auch so dargestellt werden. Sei am Anfang der Datei aber HTML-Code eingebaut, verarbeite der IE die Datei als HTML.

Durch dieses sogenannte ‚Content Type Sniffing‘ konnte Rios ein eingebautes Skript ausführen. Google versuche zwar, vor derartigen Manipulationen zu schützen, berichtete Rios, die Schutzmaßnahmen hätten aber bei seinem Spreadsheets-Angriff versagt. Entwickler sollten sich dieser Tatsache und der Nuancen des Umgangs von Browsern mit den Headern bewusst sein, damit ihre Web-Anwendungen gegenüber XSS-Angriffen nicht verwundbar werden, warnte Rios.

„Das ist ein sehr hohes Risiko“, hieß es dazu auch von Luis Corrons, Technischer Direktor der PandaLabs von Panda Security. Hackern sei es so etwa möglich, auf alle E-Mails zuzugreifen und darin gefundene Daten wie Adressen oder Kontonummern zu verwerten. Auch PandaLabs sieht den IE mitverantwortlich für die Lücke.

Unter bestimmten Umständen wird der Content Type Header von Dateien aber auch bei Firefox, Opera oder Safari ignoriert, wie eine Analyse des Sicherheitsexperten Blake Frantz von Leviathan Security zeigte. Allerdings sei der IE im Bereich Content Type Sniffing der größte Sünder, hieß es.

Cross-Site-Scripting-Lücke in Google-Services

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach