Google verunsichert durch Character-Fragen [Update]
Web-Seiten, die Googles Suchfunktionen oder die Googles Such-Appliance einsetzen, sind unter Umständen anfällig für Cross-Site-Scripting-Angriffe (XSS), die den Zeichensatz UTF-7 nutzen.
Web-Seiten, die Googles Suchfunktionen oder Googles Such-Appliance einsetzen, sind unter Umständen anfällig für Cross-Site-Scripting-Angriffe (XSS). Ein Hacker mit dem Pseudonym maluc hat festgestellt, dass man in den Anfragen den Zeichensatz (Englisch: character set) auf UTF-7 umstellen und damit verhindern kann, dass die Ausgabe korrekt gefiltert wird.
Konkret weist der Parameter oe=UTF-7 die Suchmaschine an, den Suchstring als UTF-7 zu interpretieren. Baut man dann beispielsweise den String
<script>alert("XSS")</script>
passend ein, landet er auch in der Ausgabe der Suchergebnisse und wird dort vom Browser des Anwenders ausgeführt.
Da Google Appliances, die als "sichere Echtzeitsuche für Unternehmensdaten" beworben werden, in vielen Firmen zum Einsatz kommen, sollte man das Potential dieser unscheinbaren Lücke nicht unterschätzen. Google selbst ist zwar nicht anfällig, weil die Seiten der Suchmaschine die Ausgabe filtern, aber eine Suche nach Sites, die die Engine nutzen, findet reihenweise verwundbare Seiten. maluc führt als Beispiele unter anderem das US-NIST und die Stanford Universität auf.
Update:
Google hat offenbar per Mail ein Advisory an Kunden verschickt, das das Problem erklärt und auch einen Fix enthält. Peinlich für den Suchmaschinengiganten wird der Vorfall allerdings durch die Tatsache, dass genau dieses Problem bereits vor einem Jahr veröffentlicht und von Google dann für die eigene Web-Seite behoben wurde. Offenbar hat man vergessen, den Fix auch in die eigenen Produkte einfließen zu lassen.
Siehe dazu auch:
- Widespread XSS for Google Search Appliance von maluc
- Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security
(ju)
