Cross-Site Scripting-Lücke in Google-Services

Der Sicherheitsexperte Bill Rios hat eine XSS-Sicherheitslücke (Cross-Site Scripting) entdeckt, mit der über die Google Spreadsheets die gesamte google.com-Domain missbraucht werden kann.

Damit sei ein Zugriff auf sämtliche Google-Services eines Anwenders möglich, berichtete Rios in seinem Blog. Die umfassende Gültigkeit der ‘Google Cookies’ und die Art, wie der Internet Explorer Content unterschiedlichen Typs darstelle, hätten den Angriff ermöglicht.

Rios veröffentlichte die Informationen erst, nachdem Google die Lücke behoben hatte. Über das Leck habe er einem Anwender massiv schaden können, so der Experte. Das liege daran, dass ein von Google abgelegtes Nutzer-Cookie für alle Sub-Domains gültig ist. Wenn ein Hacker eine XSS-Lücke in einer der Sub-Domains finde, könne er die Sitzung eines Nutzers “kapern” und dann auf alle Services von Google zugreifen, als wäre er dieser Anwender.

Den Angriff auf die Google Spreadsheets habe in diesem Fall der Internet Explorer (IE) ermöglicht. In einem bestimmten Format gespeicherte Spreadsheets würden dem Browser gegenüber durch den sogenannten ‘Content Type Header’ eigentlich als einfacher Text dargeboten und sollten auch so dargestellt werden. Sei am Anfang der Datei aber HTML-Code eingebaut, verarbeite der IE die Datei als HTML.

Durch dieses sogenannte ‘Content Type Sniffing’ konnte Rios ein eingebautes Skript ausführen. Google versuche zwar, vor derartigen Manipulationen zu schützen, berichtete Rios, die Schutzmaßnahmen hätten aber bei seinem Spreadsheets-Angriff versagt. Entwickler sollten sich dieser Tatsache und der Nuancen des Umgangs von Browsern mit den Headern bewusst sein, damit ihre Web-Anwendungen gegenüber XSS-Angriffen nicht verwundbar werden, warnte Rios.

“Das ist ein sehr hohes Risiko”, hieß es dazu auch von Luis Corrons, Technischer Direktor der PandaLabs von Panda Security. Hackern sei es so etwa möglich, auf alle E-Mails zuzugreifen und darin gefundene Daten wie Adressen oder Kontonummern zu verwerten. Auch PandaLabs sieht den IE mitverantwortlich für die Lücke.

Unter bestimmten Umständen wird der Content Type Header von Dateien aber auch bei Firefox, Opera oder Safari ignoriert, wie eine Analyse des Sicherheitsexperten Blake Frantz von Leviathan Security zeigte. Allerdings sei der IE im Bereich Content Type Sniffing der größte Sünder, hieß es.