PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Webseiten stehlen GoogleMail-Kontaktlisten



Burgerdri
02.01.07, 12:04
JavaScript-Code als Ursache


Moutain View (pte/02.01.2007/09:56) - Eine Sicherheitslücke ist beim Mail-Dienst GooglE-Mail http://www.gmail.com aufgetaucht. Nach einem Bericht von Heise Security sind die Kontaktlisten von GooglE-Mail-Usern öffentlich zugänglich. Einzige Voraussetzung für den Zugriff auf die Kontakte ist lediglich, dass der User bei GooglE-Mail während des Lesens der betreffenden Mails bei GooglE-Mail angemeldet ist.

Das Risiko geht von Links in den Mails aus, die vom User geöffnet werden. Google legt die Kontaktliste als JavaScript-Code immer unter derselben URL ab. Wenn diese Adresse als Script eingebunden wird, kann die Kontaktliste einfach ausgelesen werden. Google hat bereits darauf reagiert und die Schwachstelle zumindest teilweise beseitigt. Für eine Stellungnahme war Google heute, Dienstag, gegenüber pressetext nicht erreichbar.

Erst vor wenigen Wochen kam es im Hause Google zu einem weiteren peinlichen Zwischenfall. Der Internetgigant versendete einen E-Mail-Wurm über seine E-Mail-Video-Group. In einer offiziellen Stellungnahme entschuldigte sich Google damals bei den rund 50.000 Blogteilnehmern und empfahl den Einsatz von Antiviren-Software, um den Wurm zu entfernen (pressetext berichtete: http://www.pte.at/pte.mc?pte=061109019 ). (Ende)

Quelle:
http://www.pressetext.at/pte.mc?pte=070102003

Burgerdri
04.01.07, 07:44
Google hat einen Cross-Site-Scripting-Fehler in seinem Webmail-Dienst behoben, über den sich Adressbücher von Nutzern abgreifen ließen.

Entsprechender Proof-of-concept-Code war zuvor öffentlich gemacht worden. Es handelte sich dabei um JavaScript-Code, der eine Fähigkeit von Googlemail ausnutzte, die Google zur Integration von Adressen mit seinen anderen Diensten (u. a. Google Video und Google Documents) eingebaut hatte.


Laut Weblog "Googling Google" gelang es Google binnen 30 Stunden nach Bekanntwerden des Lecks, dieses zu stopfen. Eine Sprecherin des Unternehmens in London bestätigte dies gestern offiziell. (tc)

Quelle:
http://www.pcwelt.de/news/business/585372/index.html