Lücke in Google Code enthüllte das Nutzerpasswort

Google Code, die Entwicklerplattform des gleichnamigen Suchmaschinenbetreibers, wies bis vor kurzem eine Sicherheitslücke auf, die den Klau von Nutzerpasswörtern ermöglicht hat. Sie wurde von Billy Rios entdeckt und inzwischen vom Google Security Team geschlossen. Dem Entdecker gelang der Cross-Domain-Zugriff, indem er ein manipuliertes Java-Applet als "issue" zu einem bestehenden Projekt auf code.google.com hochgeladen hat. Auf derartig hochgeladene Dateien kann man anschließend über die Google-Domain zugreifen. Durch das Sicherheitsmodell von Java erhielt er nicht nur Zugriff auf die Unterverzeichnisse, sondern auch auf die vollständige Domain.

Obwohl man das Java-Applet von einem externen Server einbinden konnte, gelang die Kommunikation mit den Google-Servern. Ein von Rios veröffentlichter Screenshot soll beweisen, dass man dadurch auch an die Passwörter der Nutzer von Google Code gelangen konnte. Rios lobt die Arbeit des Google Security Teams - innerhalb kürzester Zeit wurde die Sicherheitslücke geschlossen.

Weitere Informationen: Blog-Eintrag von Billy Rios