Lücke in Googles Gmail ermöglicht Einbruch in Mail-Konten [Update]
Durch eine Schwachstelle in Googles Webmail-Dienst Gmail soll es möglich sein, ohne Kenntnis des Passwortes Zugriff auf beliebige Mail-Konten zu erhalten.
Durch eine Schwachstelle in Googles Webmail-Dienst Gmail soll es israelischen Medienberichten zufolge möglich sein, ohne Kenntnis des Passwortes Zugriff auf Mail-Konten zu erhalten. Dazu muss ein Angreifer sein Opfer allerdings dazu bringen, einen manipulierten Link anzuklicken, in dessen URL zusätzliches JavaScript versteckt ist. Der Link kann beispielsweise in einer Mail, in einer Webseite oder einem Dokument enthalten sein.
Gmail filtert diese Skripte nicht aus, sodass der Browser des Opfers sie im Kontext der Gmail zugeordneten Zone ausführt -- sofern darin ActiveScripting zugelassen ist. Diese als Cross-Site-Scripting-Schwachstelle bezeichnete Sicherheitslücke wurde zuletzt in Googles Desktop-Suchmaschine und der Web-Suchmaschine entdeckt. Google soll über das Problem bereits informiert sein und an einem Fix arbeiten.
[Update]:
Google soll die Lücke mittlerweile beseitigt haben. Der Zugriff auf Konten war durch das Kopieren der Authentifizierungs-Cookies von den PC der Anwender möglich geworden. Der Angreifer konnte sich damit ohne Kenntnis des Kennwortes an Gmail anmelden. Googles Mail-Dienst erfordert aber nicht zwingend den Einsatz von Cookies, zudem sind die abgelegten Cookies nur einen begrenzten Zeitraum gültig.
Siehe dazu auch: (dab)
- Security hole found in Gmail von Nana Netlife Magazin
