Nederlander ontdekt xss-lek in Google-website
Gepubliceerd: Woensdag 13 september 2006
Auteur: Evan Schaafsma
Een lek op een Google-site maakt het mogelijk voor kwaadwillenden om cookies en gegevens van gebruikers van Google-diensten te onderscheppen.
Het lek op een van de subdomeinen van Google.com is ontdekt door Qualitysign-directeur Barry Pouwels, die eerder een soortgelijk lek vond in de website van Chello. Pouwels verklaarde tegenover Webwereld dat hij een advertentie bekeek van een Google-dienst en door het veranderen van de url op het lek stuitte.
"Met het lek is het mogelijk om cookies uit te lezen en informatie uit formulieren door te sturen naar kwaadwillenden", aldus Pouwels. Ook kunnen kwaadwillenden formulieren op de bewuste website van Google plaatsen, waarin privacygevoelige informatie gevraagd kan worden die vervolgens bij de misbruiker terecht komt.
Het cross-site scripting-lek maakt het mogelijk om een code aan de url toe te voegen, waardoor Javascripts uitgevoerd kunnen worden om gevoelige informatie te achterhalen.
"We zijn dankbaar dat dit probleem onder onze aandacht is gebracht. Internetveiligheid is een prioriteit voor Google en we zijn direct nadat we van het probleem op de hoogte waren gesteld, begonnen met het oplossen ervan", zo verklaart Google's communicatiemanager DJ Collins tegenover Webwereld.
