Google dicht lek in online spreadsheet

Het lek, dat werd ontdekt door security-deskundige Billy Rios, had ertoe kunnen leiden dat aanvallers toegang hadden kunnen verkrijgen tot andere Google-diensten, zoals Gmail en Google Docs.

Cookies voor Google zijn namelijk geldig in de verschillende subdomeinen van de zoekgigant. "Als je inlogt op Gmail (mail.google.com), is je Gmail-cookie ook geldig voor code.google.com, docs.google.com, spreadsheets.google.com, et cetera", legt Rios uit.

De kwetsbaarheid speelde in op de manier waarop Internet Explorer Content-Types voor webpagina's behandelt. Bij een spreadsheet die wordt opgeslagen in het CSV-formaat, wordt de Content-Type geclassificeerd als 'text/plain'. Een browser zal een dergelijk document daarom als platte tekst behandelen.

Wanneer in de eerste cell van de spreadsheet echter html-codes worden geplaatst, zal IE het document behandelen als html-document. Dit kan ertoe leiden dat er bijvoorbeeld Javascript kan worden uitgevoerd binnen de spreadsheet-site van Google. Een aanvaller kan hiervan gebruikmaken door de sessie-cookies van een gebruiker te stelen en de sessie te kapen.

Hoewel Rios in zijn voorbeeld gebruikmaakt van IE, blijft het probleem volgens de security-onderzoeker niet beperkt tot de browser van Microsoft. Net als IE zijn ook Firefox, Opera en Safari onder bepaalde omstandigheden kwetsbaar. Google heeft het door Rios gevonden lek inmiddels gedicht. Voor zover bekend is er geen misbruik gemaakt van de lacune in de beveiliging.

Het is niet de eerste keer dat Google wordt getroffen door een XSS-probleem. In het verleden is de zoekmachine diverse malen getroffen door XSS-lekken, waarvan er één werd ontdekt door de Nederlander Barry Pouwels.