AdWords-Sicherheitslücke (Cross-Site-Scripting) behoben

Administrator Anmeldungsdatum: 26.11.2004 Beiträge: 903

Wie ich heute über heise erfahren habe, wurde Google von einer Sicherheitsfirma darauf aufmerksam gemacht, dass unter anderem bei deren AdWords-Service eine sog. Cross-Site-Scripting-Lücke beim Einstellen neuer Anzeigen vorhanden ist. Dadurch soll es Angreifern möglich gewesen sein, Benutzern von Google vertrauliche Daten zu entlocken bzw. zu manipulieren. Zu so einem Vorfall ist es aber laut Google nie gekommen, da die Sicherheitslücke bereits behoben wurde.

Cross-Site-Scripting ist eine Manipulations-Technik, bei der versucht wird, meist über Formular Script-Quelltexte an einen Server zu schicken. Wenn der Server diese Eingaben dann nicht sorgfältig filtert, kann es sein, dass dynamisch generierte Inahlte, die diese Scripts enthalten, an die Besucher ausgeliefert werden. Eine (schönere Smilie

) Beschreibung darüber findet sich hier: http://www.heise.de/security/artikel/38658