Google reagiert schnell auf XSS-Lücke

Das US-Unternehmen Finjan Software hat in zwei Google-Angeboten eine Sicherheitslücke gefunden, die das Ändern von Benutzerdaten möglich gemacht hätte. Google hat nach Angaben der Entdeckerfirma schnell reagiert und die XSS-Lücke (Cross Site Scripting) innerhalb von 30 Stunden gestopft.

Der Fehler war denkbar einfach. Zwei untergeordnete Seiten auf ‘google.com’ enthielten Formular-Felder, deren Daten nicht überprüft wurden. Hacker hätten diese fehlerhafte Funktion ausnutzen können, um Inhalte und Scripts einzufügen, um so wiederum Zugangsdaten zu entwenden, hieß es von Finjan. Angreifer hätten sich damit auch Zugang auf den Google Account eines Nutzer verschaffen können und damit zu zahlreichen Informationen wie persönliche Benutzerprofile oder gespeicherte Suchanfragen.

“Die dadurch ebenfalls mögliche Manipulation der Website hätte den Nutzer dahingehend täuschen können, dass er bösartigen Code herunter lädt und im schlimmsten Fall persönliche und vertrauenswürdige Informationen preisgibt”, so Finjan-Manager Limor Elbaz. Das Unternehmen hatte Google vor zwei Wochen über das Problem informiert. “Googles Reaktion war sehr gut”, so Elbaz.