Google behebt Sicherheitslücke

Google hat ein Sicherheitsproblem behoben, das Angreifern so genannte Phishing-Attacken ermöglichte. Bei bestimmten individuellen Suchanfragen kann ein Angreifer JavaScript in die Google-Seiten einschleusen, der dem Benutzer zum Beispiel ein Eingabeformular vorgaukelt. Dazu musste der Surfer allerdings die Google-Seite nicht direkt, sondern über einen vom Angreifer bereitgestellten Verweis aufrufen.

In einem Posting der Mailing-Liste BugTraq demonstriert Jim Ley das Problem am Beispiel einer manipulierten Seite, die den Besucher darüber informiert, dass Google kostenpflichtig sei und ihn auffordert, seine Kreditkarteninformationen preiszugeben. Der Exploit funktioniert laut seinem Urheber nur im Internet Explorer. Ley zufolge ist das Problem bereits seit zwei Jahren bekannt gewesen, bevor Google es gestern behob. In seinem Blog finden sich weitere Details. (jo)