Gmail-Sicherheitsloch: Der Feind liest mit
Über eine Schwachstelle in GMail können Angreifer dem Benutzer beliebige Filterregeln nach eigenem Gusto unterschieben.
27. September 2007
Blogger Petko D. Petkov aka PDP hat in Googles Webmail-Anwendung eine laut seiner Einschätzung kritische Schwachstelle entdeckt. Angreifer können über ein sogenanntes Cross-Site-Request-Forgery-Leck den E-Mail-Verkehr des betroffenen Users mitlesen. Der User muss dazu auf eine präparierte Webseite gelenkt werden, während er bei GMail angemeldet ist. Über die Lücke lassen sich dann im Google-Webmailer neue Filterregeln definieren, die zum Beispiel alle Mails an eine beliebige Adresse weiterleiten. Google hat das Leck bisher nicht geschlossen. GMail-Benutzer sollten deshalb gelegentlich unter Settings/Filter nachprüfen, ob sich zusätzliche Weiterleitungsregeln unbekannten Ursprungs eingeschlichen haben.
NACHTRAG vom 28.9.2007: Inzwischen vermeldet Google, das Sicherheitsleck sei geschlossen worden. Es sei zudem kein Fall bekannt, bei dem die Schwachstelle ausgenutzt wurde. (ubi)
NACHTRAG vom 28.9.2007: Inzwischen vermeldet Google, das Sicherheitsleck sei geschlossen worden. Es sei zudem kein Fall bekannt, bei dem die Schwachstelle ausgenutzt wurde. (ubi)
Artikel kommentieren
