Sicherheitslücke in Googles Search Appliance

Google
Googles Suche für Webseiten oder die Search Appliance kann mit einer kleinen Parameterändeung eine Sicherheitslücke für die eigene Seite darstellen. Wenn man Google anweist den Suchstring mit dem Zeichensatz UTF-7 statt UTF-8 zu interpretieren, funktionieren die Filter nicht richtig und führen beliebigen JavaScript-Code aus.

Normalerweise fangen Googles Filter alles ab dass der Webseite gefährlich werden könnte, dazu gehört neben HTML-Code natürlich auch jegliche Art von Scripten. Dies klappt aber nur wenn der korrekte Zeichensatz eingestellt ist, via dem Parameter oe=UTF-7 lässt sich der Zeichensatz aber dahingehend verändern dass eben diese Filter nicht mehr richtig funktionieren.

Damit kann z.B. der Code

< script >alert(„Es funktioniert!“)< /script >

ausgeführt werden in dem er einfach als Suchstring eingegeben wird. Eine ernste Sicherheitslücke. Im schlimmsten Fall kann die gesamte Webseite mit JS zerstört werden oder Daten der User herausgefiltert werden. Anfällig dafür ist jede extern verfügbare Google-Suche, inklusive der teuren Search Appliance.

Brisant an der ganzen Sache ist, dass die Sache schon seit über einem Jahr bekannt ist und damals auch noch in der Websuche funktioniert hat. In der eigenen Suche hat Google den Fehler innerhalb weniger Stunden ausgebessert, hat dies aber für die Angebote seiner Partner schlicht und einfach vergessen… Aber ich denke dass die Googler mittlerweile mit Hochdruck dran arbeiten.

P.S. Besteht eigentlich Hoffnung dass es eines Tages nur einen einzigen Zeichensatz geben wird? Ich hasse die Inkompatibilität der beiden, wie oft mir dadurch schon Zeichen verloren gegangen oder verkrüppelt worden sind…

[heise security]


Teile diesen Artikel: