GoogleWatchBlog

Sicherheitslücke in Spreadsheets

» Web-Version «

Vor einer Woche wurde eine von Billy Rios entdeckte Sicherheitslücke geschlossen. Der selbe Sicherheitsexperte hat nun eine Lücke in Google Docs gefunden.

Die Lücke befindet sich in Spreadsheets und erlaubt es alle Cookies des Angegriffenen zu stehlen. Laut Rios reicht es eine manipulierte Datei mit dem Internet Explorer zu öffnen. Der Grund, dass das ganze überhaupt funktioniert, ist ein vom Browser ignorierter content-type-Header in HTTP-Antworten vom Server.

Auch mit anderen Browsern zum Beispiel dem Firefox oder Safari war es Rios möglich alle Cookies zu stehlen. Mit den Google Cookies konnte er sich ohne Passwort bei fremden Accounts einloggen. Bei den anderen Browsern ging es aber nicht immer.

Wie schon beim letzten Mal hat Rios den Fehler an die Googler gemeldet, die die Lücke mitterweile geschlossen haben.

» Posting in Rios Blog

[Winfuture; heise, thx to: Felix]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren