Google beseitigt Schwachstelle in Desktop Search [Update]
Durch eine Schwachstelle in Googles Desktop Search soll es Angreifern möglich gewesen sein, die Festplatte eines Opfers über das Internet zu durchsuchen und Teile von Dateien einzusehen.
Durch eine Schwachstelle in Googles Desktop Search soll es Angreifern möglich gewesen sein, die Festplatte eines Opfers über das Internet zu durchsuchen und Teile von Dateien einzusehen, schreibt die New York Times. Entdeckt haben die Sicherheitslücke Wissenschaftler der Rice Unversität in Houston im Rahmen eines Projektes zur Sicherheit von Googles Tool. Das Problem beruht darauf, dass die Desktop Search an google.com gerichtete Suchanfragen mitliest und lokale Treffer in die zurückgelieferte Ergebnisliste mit einbaut -- diese Option ist standardmäßig aktiviert. Das Einfügen geschieht allerdings nur im Browser auf dem PC, das Tool schickt keine lokalen Suchergebnisse ins Internet. Allerdings gelang es, das Tool auszutricksen, sodass es die Ergebnisse auch in andere Seiten als google.com einbaute.
Der Anwender muss dazu aber eine präparierte Web-Seite besuchen, damit ein Angreifer die so fälschlicherweise eingebauten Inhalte wieder auslesen kann. Auch ist der Umfang der auszuspähenden Daten nicht gerade immens, da beispielsweise nur kurze Abschnitte von Texten angezeigt werden. Mit etwas Glück hätten aber genau dort wichtige Daten wie Namen und Kennwort stehen können. Google hat eine neue Version der Desktop Search herausgegeben, die durch das automatische Update bereits auf den meisten betroffenen PCs installiert sein dürfte.
Nach Angaben der Wissenschaftler kombiniert auch Microsofts Desktop-Suchmaschine MSN Toolbar Suite lokale und externe Suchergebnisse, allerdings füge sie diese auf eine andere Art zusammen, sodass das Problem dort nach ersten Erkenntnissen nicht zu finden sei.
Siehe dazu auch: (dab)
- Attacks on Local Searching Tools Rice University
