Blogger Petko D. Petkov aka PDP hat in Googles Webmail-Anwendung eine laut seiner Einschätzung kritische Schwachstelle entdeckt. Angreifer können über ein sogenanntes Cross-Site-Request-Forgery-Leck den E-Mail-Verkehr des betroffenen Users mitlesen. Der User muss dazu auf eine präparierte Webseite gelenkt werden, während er bei GMail angemeldet ist. Über die Lücke lassen sich dann im Google-Webmailer neue Filterregeln definieren, die zum Beispiel alle Mails an eine beliebige Adresse weiterleiten. Google hat das Leck bisher nicht geschlossen. GMail-Benutzer sollten deshalb gelegentlich unter Settings/Filter nachprüfen, ob sich zusätzliche Weiterleitungsregeln unbekannten Ursprungs eingeschlichen haben.
NACHTRAG vom 28.9.2007: Inzwischen vermeldet
Google, das Sicherheitsleck sei geschlossen worden. Es sei zudem kein Fall bekannt, bei dem die Schwachstelle ausgenutzt wurde.
(ubi)