Xss-lek in Google-code bedreigt websites - update
Gepubliceerd: Dinsdag 7 december 2010
Auteur: Jasper Bakker
Google heeft een beveiligingslek ontdekt in zijn Website Optimizer-dienst. Het houdt dit gat stil en meldt het alleen in directe mails aan gebruikers, die dit tippen aan Webwereld.
De door internetmarketeers en developers gebruikte Website Optimizer van Google heeft een beveiligingsgat dat xss-aanvallen (cross-site scripting) mogelijk maakt. Een aanvaller kan via dit xss-lek eigen code uitvoeren op websites, waarschuwt productmarketingmanager Trevor Claiborne van het Website Optimizer-team van Google. Diverse lezers melden dit aan Webwereld.
Mailwaarschuwing
De Google-manager stuurt Optimizer-gebruikers een e-mail waarin het gat wordt gemeld. Het officiële blog voor deze Google-dienst doet op dit moment geen enkele melding van deze kwestie. Claiborne sust de waarschuwing nog wel met de mededeling dat een xss-aanval alleen kan plaatsvinden als een website of browser al gecompromitteerd is middels een andere aanval.
"Terwijl de onmiddelijke waarschijnlijkheid van deze aanval laag is, dringen we er op bij u op aan om actie te ondernemen om uw website te beschermen", schrijft de Google-marketingmanager. Het lek is namelijk al gedicht door het bedrijf, maar de nieuwe code is pas van toepassing voor gebruikers als die hun Optimizer-scripts vernieuwen.
Oude scripts verwijderen
Daarvoor moeten gebruikers hun lopende Optimizer-projecten stop zetten en verwijderen. Dit geldt ook voor projecten die op pauze staan of al zijn stopgezet. Na het verwijderen, kunnen gebruikers nieuwe 'Optimizer-experimenten' aanmaken, die dan wel veilig zijn.
Ook is het mogelijk om de reeds draaiende code te updaten, maar dat is volgens Google een complexere methode dan het verwijderen van Optimizer-projecten en die dan opnieuw aanmaken. De JavaScript-code voor Optimizer kan voor hele pagina's of slechts voor componenten actief zijn. Het is hoe dan ook aanwezig op de webpagina, die daarmee dus kwetsbaar is.
Update:Google meldt nog aan Webwereld dat dit beveiligingslek is ontdekt door een externe partij. Die niet bij naam genoemde ontdekker heeft contact opgenomen met Google, waarna het lek op 3 december is gedicht. "We hebben geen bewijs gezien dat sites die de Website Optimizer gebruiken, het doelwit zijn geworden van aanvallen via deze bug", antwoordt het bedrijf op vragen van Webwereld.
Het officiële blog van het Website Optimizer-team van Google is inmiddels voorzien van een posting over het lek.
