Sicherheitslücke in Spreadsheets

Docs

Vor einer Woche wurde eine von Billy Rios entdeckte Sicherheitslücke geschlossen. Der selbe Sicherheitsexperte hat nun eine Lücke in Google Docs gefunden.

Die Lücke befindet sich in Spreadsheets und erlaubt es alle Cookies des Angegriffenen zu stehlen. Laut Rios reicht es eine manipulierte Datei mit dem Internet Explorer zu öffnen. Der Grund, dass das ganze überhaupt funktioniert, ist ein vom Browser ignorierter content-type-Header in HTTP-Antworten vom Server.

Auch mit anderen Browsern zum Beispiel dem Firefox oder Safari war es Rios möglich alle Cookies zu stehlen. Mit den Google Cookies konnte er sich ohne Passwort bei fremden Accounts einloggen. Bei den anderen Browsern ging es aber nicht immer.

Wie schon beim letzten Mal hat Rios den Fehler an die Googler gemeldet, die die Lücke mitterweile geschlossen haben.

» Posting in Rios Blog

[Winfuture; heise, thx to: Felix]

Teile diesen Artikel:

comment ommentare zur “Sicherheitslücke in Spreadsheets

Kommentare sind geschlossen.