Cross-Site Scripting-Lücke in Google-Services

Damit sei ein Zugriff auf sämtliche Google-Services eines Anwenders möglich, berichtete Rios in seinem Blog. Die umfassende Gültigkeit der ‘Google Cookies’ und die Art, wie der Internet Explorer Content unterschiedlichen Typs darstelle, hätten den Angriff ermöglicht.

Rios veröffentlichte die Informationen erst, nachdem Google die Lücke behoben hatte. Über das Leck habe er einem Anwender massiv schaden können, so der Experte. Das liege daran, dass ein von Google abgelegtes Nutzer-Cookie für alle Sub-Domains gültig ist. Wenn ein Hacker eine XSS-Lücke in einer der Sub-Domains finde, könne er die Sitzung eines Nutzers “kapern” und dann auf alle Services von Google zugreifen, als wäre er dieser Anwender.

Den Angriff auf die Google Spreadsheets habe in diesem Fall der Internet Explorer (IE) ermöglicht. In einem bestimmten Format gespeicherte Spreadsheets würden dem Browser gegenüber durch den sogenannten ‘Content Type Header’ eigentlich als einfacher Text dargeboten und sollten auch so dargestellt werden. Sei am Anfang der Datei aber HTML-Code eingebaut, verarbeite der IE die Datei als HTML.

Durch dieses sogenannte ‘Content Type Sniffing’ konnte Rios ein eingebautes Skript ausführen. Google versuche zwar, vor derartigen Manipulationen zu schützen, berichtete Rios, die Schutzmaßnahmen hätten aber bei seinem Spreadsheets-Angriff versagt. Entwickler sollten sich dieser Tatsache und der Nuancen des Umgangs von Browsern mit den Headern bewusst sein, damit ihre Web-Anwendungen gegenüber XSS-Angriffen nicht verwundbar werden, warnte Rios.

“Das ist ein sehr hohes Risiko”, hieß es dazu auch von Luis Corrons, Technischer Direktor der PandaLabs von Panda Security. Hackern sei es so etwa möglich, auf alle E-Mails zuzugreifen und darin gefundene Daten wie Adressen oder Kontonummern zu verwerten. Auch PandaLabs sieht den IE mitverantwortlich für die Lücke.

Unter bestimmten Umständen wird der Content Type Header von Dateien aber auch bei Firefox, Opera oder Safari ignoriert, wie eine Analyse des Sicherheitsexperten Blake Frantz von Leviathan Security zeigte. Allerdings sei der IE im Bereich Content Type Sniffing der größte Sünder, hieß es.

Silicon-Redaktion

Recent Posts

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

1 Tag ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

2 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

3 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago

Klinikum Frankfurt an der Oder treibt Digitalisierung voran

Interdisziplinäres Lenkungsgremium mit Experten aus den Bereichen IT, Medizin, Pflege und Verwaltung sorgt für die…

5 Tagen ago