Categories: Sicherheit

Sicherheitslücke in Google Desktop

Danny Allen, Direktor of Security Research bei Watchfire, erklärt, dass Hacker über Cross-Site Scripting Google Desktop für ihre Zwecke benutzen könnten. Google empfiehlt allen Anwendern, zu überprüfen, ob sie die neueste Version des Programms auf ihrem Rechner haben. „Wir haben schnell einen Bugfix herausgebracht. Alle Anwendungen werden automatisch mit dem Patch aktualisiert,“ teilte Google mit. „Eine weitere Schicht von Sicherheitsüberprüfungen wird Anwender der neuen Version in der Zukunft vor ähnlichen Lücken schützen.“

Der schwache Punkt sei laut Watchfire die Integration von Google Search, der bekannten Internet-Suche, in die Desktop-Anwendung. Dadurch könnten die gefundenen Sicherheitslücken ausgenutzt werden, ohne dass der Vorfall von Schutzprogrammen wie Virenscannern oder Firewalls bemerkt würde, so Allen. Diese Form des Angriffs ist laut Watchfire anders als herkömmliche Attacken: Sie verwende Javascript und injiziere keinen binären Code, um die Kontrolle über Google Desktop zu erlangen. Der Angreifer könne die Anwendung fernsteuern und lokal nach vertraulichen Informationen suchen. Passwörter und Zugangsdaten von Banken, die in Dateien oder im Verlauf des Browsers gespeichert sind, könnten von einem Rechner im Web aus abgerufen werden.

Watchfire habe Google am 4. Januar auf drei Sicherheitslücken und einen Fehler in der Architektur der Software aufmerksam gemacht, sagt Allen. Google habe am 1. Februar geantwortet und um einige Wochen Zeit gebeten, bis Watchfire die Informationen veröffentliche. Sowohl Watchfire als auch Google verlautbarten, dass anscheinend niemand die Schwachstellen ausgenutzt und Rechner mit der Suchmaschine angegriffen habe.

Allen zufolge ist Google Desktop immer noch für Cross-Site-Scripting verwundbar. Das liege an der „schlechten Design-Entscheidung“, einen Link von den Google-Webservern zum PC des Google-Desktop-Anwenders einzubauen. Diesen Link ins Web vergleicht Allen mit einer Schwingtür: Es ist gut, wenn sie nach außen schwingt, weil ich dann hinaus kann. Aber sie sollte niemals zurück schwingen können.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

5 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

23 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago