Google sichert Desktop-Suche gegen aktuelle IE-Lücke
Google hat Hausaufgaben erledigt und den Online-Teil seiner Desktop-Suche derart verändert, dass sie sich nicht mehr für einen sogenannten Proof-Of-Concept-Exploit zur vergangenen Woche gemeldeten Lücke im Stylesheet-Parser des Internet Explorers nutzen lässt. DANKE GOOGLE!
Der Entdecker Matan Gillon demonstrierte schließlich am Beispiel der Desktop-Suche, wie sich durch diese blöde Sicherheitslücke vertrauliche Informationen ruckzuck gewinnen lassen.
ABER: Das Problem im CSS-Parser des Internet Explorers bleibt dank Microsoft hingegen vorerst ungepatcht. Dieses ermöglicht schadhaftem JavaScript-Code nach wie vor unerlaubte Inter-Domain-Zugriffe. Von den so gewonnenen Daten lassen sich allerdings nur die Teile auswerten, die eine CSS-Struktur mit geschweiften Klammern aufweisen. Diese lassen sich jedoch häufig über die URL-Parameter dynamischer Webseiten an geeigneten Stellen einschleusen.
MS: Bitte auch Hausis machen, danke...
Quelle: http://www.heise.de