Eine Sicherheitslücke in Google Code machte es sehr leicht möglich die Benutzerpasswörter auszuspähen. Billy Rois hatte die Lücke entdeckt und das Google Security Team hat diese mitterweile geschlossen.
Der Cross Domain Zugriff war möglich nachdem Rois ein modifiziertes Java Applet als issue bei Google Code hochgeladen hatte. Auf solche Dateien kann man nur über code.google.com zugreifen. Rois hatte durch das Sicherheitsmodell von Java nicht nur Zugang auf die Verzeichnisse sondern auf die gesamte Domain.
Rois hatt auf seiner Seite einen Screenshot veröffentlicht, der beweisen soll, dass er auch an die Passwörter der Code Nutzer gelangt war.
Gleichzeitig lobte er die Arbeit von Google, denn die Googler schlossen die Lücke in sehr kurzer Zeit.
[Winfuture]
Schlagwort: sicherheitslücke
Eine Sicherheitslücke in Google Code machte es sehr leicht möglich die Benutzerpasswörter auszuspähen. Billy Rois hatte die Lücke entdeckt und das Google Security Team hat diese mitterweile geschlossen.
Der Cross Domain Zugriff war möglich nachdem Rois ein modifiziertes Java Applet als issue bei Google Code hochgeladen hatte. Auf solche Dateien kann man nur über code.google.com zugreifen. Rois hatte durch das Sicherheitsmodell von Java nicht nur Zugang auf die Verzeichnisse sondern auf die gesamte Domain.
Rois hatt auf seiner Seite einen Screenshot veröffentlicht, der beweisen soll, dass er auch an die Passwörter der Code Nutzer gelangt war.
Gleichzeitig lobte er die Arbeit von Google, denn die Googler schlossen die Lücke in sehr kurzer Zeit.
[Winfuture]
Im Dezember 2007 wurde circa 400 000 orkut Accounts mit einem Wurm infiziert. Nun gibt es einen neuen Wurm.
Dieser trägt den Namen W32.Scrapkut. Laut heise und Symantec funktioniert der Wurm so: Im Gästebuch wird eine Nachricht verfasst und ein Link auf ein YouTube Video gesetzt. Will der Anwender es abspielen, wird aufgefordert die Datei "flashx_player_9.8.0.exe" zuinstallieren. Nun folgt ein Hinweis in Portugiesisch. Deswegen wird vermutet, dass der Wurm besonders auf Brasilien zielt.
Das Programm lädt weitere Software herunter und installiert sie. Eine davon ist eine Spyware, die dann die Login Daten von orkut abgreift und Links zum "YouTube Video" im Netz verbreitet.
Weitere Details bei heise und Symantec
Mit Hilfe der Auf Gut Glück Funktion können Spammer Links zu Malware-verseuchten Webseiten ganz einfach als Google Link tarnen. Ruft man http://www.google.de/search?hl=de&q=%22Google+Mail%22 kommt man wie gewünscht zu den Suchergebnissen bei Google. Durch eine kleine Veränderung an der URL http://www.google.de/search?btnI&hl=de&q=%22Google+Mail%22 wird man direkt aufs erste Suchergebnis geleitet. Die einzige Veränderung an der URL ist btnI. Spammer können durch einen unsinnigen Suchbegriff wie zum Beispiel "googlismus" gezielt ihre Seite ein erste Position setzen. Nachdem anfangs die Meldung kommt, dass zur Suchanfrage keine Dokumente gefunden wurden (wird mit diesem Begriff auch erst so sein), wird nach dem Besuch des Google Bots dieser Artikel bei diesem Suchbegriff an erster Position stehen. Um zu verhindern das andere Seiten davor liegen kann man durch das Parameter site:googlewatchblog.de dafür sorgen, dass der Link in der Spam auch an ersten Position bliebt. Beim Aufruf eines solchen unscheinbaren Googlelinks verbirgt sich vielleicht eine Seite die aktuelle Schwachstellen im Browser ausnutzt um schadhafte Codes auf dem PC zu installieren. Das funktioniert aber nicht nur mit dem Auf Gut Glück Button, auch mit dem Firefox. ruft man mit dem Firefox eine Seite auf, die nicht gefunden wird, sucht der Browser automatisch mit Hilfe von Google. Der Aufruf der Seite erfolgt nach diesem Muster http://www.google.com/search?sourceid=navclient&gfns=1&q=
Die vor wenigen Tagen aufgetauchte Sichereitslücke in Google Mail ist laut offiziellen Google-Angaben jetzt geschlossen worden. Über die Lücke war es möglich, von außen Filter für Google Mail zu erstellen mit denen man dann etwa alle eingehenden Mails zum eigenen Account hat weiterleiten lassen. Laut Google wurde diese Sicherheitslücke aber nicht "aktiv" genutzt - was immer das auch heißen mag...
Prüft auf jeden Fall eure Filter.
[golem, thx to: Pascal]
Wie CHIP Online berichtet ist hat gnucitizen.org eine Sicherheitslücke in Google Mail entdeckt. Es soll möglich sein, wenn man eine präparierte Seite aufruft und sich in einem anderen Fenster gerade bei Google Mail einloggt, dass ein Hacker die eMails klauen kann. Der Hacker erstellt einen Filter und leitet die eMails auf seine Adresse weiter. Dies geschieht über eine sogannte Cross-Site-Request-Forgery-Lücke (CSRF), die auch als Session Riding bekannt ist. Selbst wenn Google die Lücke schließt, bleibt der Filter erhalten. Man sollte also die Filter kontrollieren.
Google öffnet seine Dienste über http, wer die sicherere Verbindung https nutzen möchte sollte im Firefox erst Greasemonkey und dann dieses Script installieren.
Ich habe selbst das Script ausgetestet und bin zu frieden, leider dauert das Laden etwas länger, was man aber für Sicherheit in Kauf nehmen kann. Mehr Tools und Tipps in der Google Wiki.
Die Sicherheitsexperten Billy Rios und Nate McFeters haben in Picasa eine Lücke gefunden, die es erlaubt Picasa-Nutzern Fotos direkt von der Festplatte zu stehlen.
[chip , heise.de]
[Gastartikel von: Pascal]
Nachtrag:
» Sicherheitslücke in Google Mail geschlossen, kein Schaden entstanden
Zwar ist YouTube ein Portal zum Videoaustausch mit der ganzen Welt, aber trotzdem gibt es eine Funktion mit der Videos als privat markiert werden können. Diese Videos können dann nur von den Usern gesehen werden die per Mail dazu eingeladen werden - vermeintlich. Ganz so privat wie die meisten wohl gehofft haben sind diese Videos nämlich nicht...
In Googles Office-Anwendung Docs & Spreadsheets wurde eine schwere Sicherheitslücke gefunden die aufzeigt dass Dokumente die als "privat" gekennzeichnet sind doch nicht so ganz privat sind wie gedacht. Dies gilt zumindest für die in das Dokument eingebetteten Bilder und Fotos, diese sind nämlich separat gespeichert und für jedermann zugänglich - auch ohne Zugangsberechtigung.
Zu jedem einzelnen Video kann man sich bei YouTube anzeigen lassen von welchen Webseiten es am meisten aufgerufen worden ist. Google scannt fleißig alle Webseiten, natürlich auch die von YouTube. Kombiniert man diese beiden Dinge jetzt miteinander kann man mit der richtigen Suchanfrage jede Menge FTP-Passwörter herausfinden - eine offene Sicherheitslücke.
Die neue Slideshow-Funktion der Picasa Web Albums hat eine Sicherheitslücke und zeigt, wie schon öfter bei den Web Albums passiert, auch private Galerien an. Wird eine Slideshow einmal in eine Webseite eingebunden, ist diese auch noch sichtbar wenn die eigentliche Galerie versteckt bzw. der Status auf "Privat" gesetzt wird. Bleibt nun die Frage: Is it a bug or a Feature? Es mag sein dass es für einige ganze praktisch ist wenn sie ihre nicht für die Öffentlichkeit bestimmte Galerie auch auf bestimmten Webseiten als Slideshow einbinden können, aber für mich ist das ganze eindeutig eine Sicherheitslücke. Anscheinend behält Google den Feed der betreffenden Galerie noch eine Weile im Cache und kann so weiterhin auf die eigentlich versteckten Fotos zugreifen. Na dann mal an die Arbeit ihr Googler ;-) [Zerstoiber]
AUWEIA! Da hat Google aber einen richtigen Bock geschossen: wer bisher dachte dass Dateien und Webseiten die bei den Google Pages hochgeladen oder erstellt worden sind nicht von der ganzen Welt gesehen werden können irrt sich ganz gewaltig. Jede Webseite hat bei Google eine eigene Sitemap in der alle hochgeladenen Dateien aufgelistet und so für jedermann zugänglich sind. Um zu sehen welche Dateien auf einem Google Pages-Account liegen muss man einfach nur die URL
http://website.googlepages.com/sitemap.xmlaufrufen und schon bekommt man eine schöne Liste aller erstellten Webseiten und hochgeladenen Webseiten präsentiert - und das ohne irgendeine Prüfung der Zugangsberechtigung. Ich habe bei den Google Pages auch schon private Webseiten erstellt die nicht unbedingt die ganze Welt sehen sollte und musste dann vorhin mit erschrecken feststellen dass die garnicht so unsichtbar sind wie ich dachte - natürlich hatte ich Dokumentnamen vergeben auf die niemand kommt - aber wenn die Liste so öffentlich präsentiert wird ist das natürlich kein großes Hindernis mehr. Also habe ich die betreffenden Seiten gelöscht bzw. unpublished. Wer also private Dinge bei den Google Pages hostet sollte diese sofort löschen bzw. unpublishen. Durch den Eintrag in der Sitemap ist es nämlich auch nur eine Frage der Zeit bis die Dateien und Dokumente in den 4 großen Suchmaschinen die das Sitemap-Protokoll unterstützen auftauchen. P.S. Ein RSS-Feed aller Webseiten bieten die Pages übrigens auch an:
http://website.googlepages.com/rss.xmlAlso für mich hat sich das Thema Page Creator damit erledigt... zumindest zum hosten von Dateien. Es ist eine Frechheit dass Google so etwas nicht vorher ankündigt und die User davor warnt... [Google OS]