Lücke in Googles Spreadsheets ermöglichte Cookie-Diebstahl

Billy Rios hat eine Cross-Site-Scripting-Schwachstelle in Googles Spreadsheets entdeckt, durch die Angreifer mit Links auf manipulierte Tabellen an das Anwender-Cookie gelangen und damit dessen Konto kompromittieren können.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Lesezeit: 2 Min.
Von

Der Sicherheitsforscher Billy Rios hat eine Schwachstelle in Googles Spreadsheets entdeckt, durch die Angreifer mit Links auf manipulierten Tabellen, die die Opfer mit dem Internet Explorer ansurfen müssen, die Cookies der Anwender stehlen konnten. Mit den Cookies können die Angreifer dann auf alle Google-Dienste mit der Identität des Opfers zugreifen und beispielsweise dessen E-Mails bei Google Mail lesen, erläutert Rios.

In einem Blog-Eintrag erklärt Rios, dass die Sicherheitslücke auf fehlerhafte beziehungsweise vom Browser ignorierte content-type-Header in HTTP-Antworten vom Server zurückgehen. Das Problem betreffe nicht nur den Internet Explorer, auch Firefox, Safari und Opera ignorieren laut Rios unter bestimmten Umständen den content-type-Header und versuchen selbst zu bestimmen, um was für Inhalte es sich bei der Server-Antwort handelt.

Rios hat die Schwachstelle ausnutzen können, indem er HTML-Inhalte in die Server-Antwort eingeschleust hat. Dazu hat er eine Tabelle erstellt, die in der ersten Zelle den HTML-Code mit einem JavaScript-Schnipsel enthält, der das Cookie des Anwenders anzeigt. Googles Spreadsheets unterstützt die Ausgabe als CSV, was dem Text-Format entspricht und wodurch der Internet Explorer die Ausgabe dann als HTML interpretiert.

"Mit dieser einen Cross-Site-Scripting-Lücke kann ich Gmail von Opfern lesen, Hintertüren in ihren Code auf code.google.com einbauen, ihre Google-Dokumente stehlen und im Grunde alles bei Google machen, was ich will, als wenn ich das Opfer wäre", erläutert Rios. Google hat die Lücke inzwischen geschlossen; entsprechend präparierte Tabelleninhalte zeigt der Browser jetzt als Text an und rendert ihn nicht als HTML.

Erst vergangene Woche hatte Rios Details zu einer Schwachstelle in Googles Code veröffentlicht, wodurch Angreifer die Passwörter von Benutzern stehlen konnten. Zusammen mit Nathan McFeters hat er vergangenes Jahr die URI-Schwachstelle in Windows aufgedeckt und Demonstrationen der Lücke veröffentlicht, außerdem hat er ebenfalls zusammen mit McFeters Schwachstellen in Googles Picasa gefunden.

Siehe dazu auch:

(dmk)