Der Sicherheitsexperte Billy Rios hat eine weitere Sicherheitslücke im Online-Angebot von Google gefunden, nachdem er in der letzten Woche auf ein Problem bei Google Code aufmerksam machte (wir berichteten). Diesmal ist die Online-Tabellenkalkulation betroffen.
Demnach reicht es aus, eine manipulierte Tabelle mit dem Internet Explorer anzusteuern, um dem Angreifer alle Cookies zu liefern, die auf dem System gespeichert sind. Damit könnte er dann alle Google-Dienste ohne die Eingabe eines Passworts nutzen, beispielsweise den kostenlosen Mail-Dienst GMail. Der Grund ist ein vom Browser ignorierter content-type-Header in HTTP-Antworten vom Server.
Nicht nur Microsofts Internet Explorer soll die Ausnutzung der Sicherheitslücke ermöglichen - unter Umständen kann dies auch mit Firefox, Safari und Opera geschehen. Die Programme versuchen selbstständig herauszufinden, um welche Inhalte es sich bei einer Server-Antwort handelt.
Wie auch bei der letzten Sicherheitslücke, die Rios bei Google entdeckt hatte, reagierte das Sicherheitsteam auch in diesem Fall sehr schnell und hat das Problem inzwischen behoben.
Weitere Informationen: Blog-Eintrag von Billy Rios