Schwerwiegendes Sicherheitsleck in Google Desktop Search

Angreifer konnten Programmcode ausführen und Daten ausspionieren

Googles Desktop-Suche hat ein schwerwiegendes Sicherheitsloch enthalten, das nun geschlossen sein soll. Über das Ende 2006 gefundene Sicherheitsleck konnten Angreifer beliebigen Programmcode ausführen. Google selbst gab keine allgemein verfügbaren Informationen zu dem Fehler bekannt, sondern hüllt sich lieber in Schweigen.

Artikel veröffentlicht am ,

Lediglich einzelnen US-Medien gab Google auf Nachfrage Informationen zu dem Sicherheitsleck bekannt. In einem Whitepaper im PDF-Format informiert das IT-Sicherheitsunterhemen Wachtfire über das Sicherheitsleck. Diese haben den Fehler Ende 2006 gefunden und an Google gemeldet, die den Fehler nach eigener Aussage korrigiert haben. Nach Google-Aussage wurde das Sicherheitsleck bislang nicht ausgenutzt.

Google Desktop Search nutzt für die Präsentation der Suchergebnisse einen normalen Webbrowser und zeigt die Resultate in einer ähnlichen Gestaltung, wie man es von der Google Websuche kennt. In dieser Kommunikationsstrecke macht sich eine Cross-Site-Scripting-Attacke bemerkbar, über die ein Angreifer mittels JavaScript-Kommando beliebigen Programmcode ausführen kann. Zudem kann eine Attacke so aussehen, dass vertrauliche Daten ausgespäht werden, die im Index der Desktopsuche enthalten sind.

Gegenüber US-Medien teilte Google mit, dass Änderungen an Google Desktop Search nun solche Angriffe verhindern. Da Google selbst keine klaren Informationen zu der Sicherheitslücke veröffentlicht hat, ist auch unklar, ab welcher Version Google Desktop Search nicht mehr von dem Fehler betroffen ist und welche Versionen der Desktop-Suche aktualisiert werden müssen.

Bereits im Dezember 2004 gab es eine Sicherheitslücke in Google Desktop Search, über die der Suchmaschinengigant damals aktiv ebenfalls keinerlei Auskünfte gab. Auch im aktuellen Fall reagierte Google auf eine seit gestern laufende Anfrage von Golem.de nicht. Denn eigentlich ist es üblich, Nutzer einer Software aktiv auf Sicherheitsrisiken hinzuweisen. Google zieht es aber vor, das Problem unter den Teppich zu kehren und hat von sich aus keinerlei Informationen dazu in die Öffentlichkeit getragen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Mario 23. Feb 2007

... na, aber die Vista-Suche mit "Spotlight" zu vergleichen, ist schon ein Frevel, oder...

JackH 23. Feb 2007

Ich hatte letzten Montag oder so eine Version runtergeladen. Jetzt bekomme ich über die...

Thor 22. Feb 2007

Dacht ich mir auch... Aber Golem zieht mit am Strang und nennt es ein Sicherheitsleck...

MEKfnslkfs 22. Feb 2007

Und ich verwende noch nach wie vor Version 1 und lese jetzt zum ersten mal davon. Danke...



Aktuell auf der Startseite von Golem.de
25 Jahre Starship Troopers
Paul Verhoevens missverstandene Satire

Als Starship Troopers in die Kinos kam, wurde ihm faschistoides Gedankengut unterstellt. Dabei ist der Film des Niederländers Paul Verhoeven eine beißende Satire.
Von Peter Osteried

25 Jahre Starship Troopers: Paul Verhoevens missverstandene Satire
Artikel
  1. Azure DevOps: Die Entwicklerplattform, die es richtig macht
    Azure DevOps
    Die Entwicklerplattform, die es richtig macht

    Azure DevOps ist eine mächtige und ständig wachsende Plattform. Ich bin Fan - und zwar aus guten Gründen.
    Ein IMHO von Rene Koch

  2. Lügenvorwürfe: Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe
    Lügenvorwürfe
    Beschwerden über Telekom-Drückerkolonnen auch in Karlsruhe

    Wie in Köln arbeiten Telekom-Werber offenbar auch in Karlsruhe mit fragwürdigen Methoden. Verbraucherschützer fordern ein Verbot solcher Besuche ohne Einwilligung.

  3. Energiekrise: Brauchen wir Atomkraftwerke noch?
    Energiekrise
    Brauchen wir Atomkraftwerke noch?

    Wegen des Kriegs in der Ukraine laufen die letzten drei deutschen Atomkraftwerke bis Mitte April. Ein Weiterbetrieb wird gefordert. Wie realistisch oder sinnvoll ist das?
    Eine Analyse von Werner Pluta

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston NV2 2TB 104,90€ • Patriot Viper VPN100 2TB 123,89€ • Alternate: Weekend Sale • WSV bei MediaMarkt • XIAOMI Watch S1 149€ • Alphacool Eiswolf 2 AiO 360 Radeon RX 6800/XT 227,89€ • MindStar: be quiet! Dark Power 13 1000W 259€ • The Legend of Zelda: Link's Awakening 39,99€ [Werbung]
    •  /