Bestanden lezen via lek in Google toolbar

De mensen van GreyMagic brengen de wereld op de hoogte van een beveiligingsprobleem met de populaire Google toolbar. Het blijkt mogelijk om vanuit webpagina's de toolbar te besturen, waarbij het mogelijk wordt om de zoekopdrachten van de gebruiker te bekijken en zelfs om bestanden van zijn computer te lezen. Het probleem zit hem in de manier waarop de opties van de toolbar worden ingesteld. Dit gebeurt middels een connectie naar een URL, waarbij de opties als argumenten worden meegegeven. Het is voor een kwaadwillende webmaster mogelijk om bij de bezoekers aan zijn pagina een nieuw venster te openen dat automatisch contact zoekt met Google met de speciaal vormgegeven URL, waardoor de configuratie bij de client verandert.

Dergelijke problemen zijn niet prettig, maar ze zijn relatief onschuldig. De toolbar heeft echter ondersteuning voor een argument dat wel gevaar kan opleveren: door het aanroepen van http://toolbar.google.com/command?script=een_script wordt een willekeurig script uitgevoerd op gebruikersniveau. Dit geeft de mogelijkheid om programma's te starten en om bestanden te lezen. Het probleem is enige tijd geleden door GreyMagic ontdekt, waarna het bedrijf contact heeft opgenomen met Google. De zoekmachinegigant heeft een nieuwe versie uitgebracht die het probleem verhelpt. Aangezien nieuwe versies van de toolbar automatisch door het programma worden gedownload zijn de meeste gebruikers ondertussen al niet meer kwetsbaar:

We notified Google about these problems on 31-Jul-2002 and worked with them to fix the issues. Google has been very responsive and quick to produce a fixed version (1.1.59/1.1.60).

The new version began distributing on Wednesday (07-Aug-2002) noon using the auto-update feature in the Google toolbar. Therefore, most of the toolbar's users should be protected from these vulnerabilities by now.

R Uphoff was het snelst om dit nieuws door te geven.