Auteur
De Google Toolbar , het zoekhulpje dat zich via toolbar.google.com desgewenst in Internet Explorer nestelt, is alweer lek. Onder 'About' wordt HTML-code niet goed gefilterd met als gevolg dat in bepaalde scenario's dubieuze scripts kunnen worden gelanceerd. Op het eerste oog lijkt de kans op infectie miniem. Wie 'About' niet oproept, loopt ogenschijnlijk geen gevaar. Met een HTML-trucje blijkt de About-box echter vanzelf te worden geactiveeerd als vervoermiddel voor ongewenste scripts.
Voorbeeld van een code die de About-box activeert:
<s c r i p t>
window.showModalDialog("res://C:\\Program%20Files\\Google\\GoogleToolbar1.dll/ABOUT.HTML",
"<div style=\"background-image:
url(javascript:alert(location.href));\">");
</s c r i p t>
Er is nog geen oplossing ontdekt tegen het ongerief. De bug is nog zo nieuw, dat een zoekactie op GoogleToolbar1.dll/ABOUT.HTML geen besmette pagina's oplevert, maar alleen waarschuwingen. Zie ook:
http://www.google.com/search?sourceid=navclient&hl=nl&ie=UTF-8&q=GoogleToolbar1%2Edll%2FABOUT%2EHTML
Vooralsnog heb ik - ook na twee uur zoeken - geen besmette pagina's kunnen vinden. Het risico op elektronisch malheur lijkt me niet zo groot. En vooralsnog kan de bug de veiligheidszone van Internet Explorer nog niet omzeilen.
Maar het is natuurlijk wel ironisch dat uitgerekend de Google Toolbar dit achterdeurtje bevat. Al in 2002 stak een storm van kritiek op vanwege beveiligingslekken, zie ook http://www.greymagic.com/security/advisories/gm001-mc/ en http://www.webwereld.nl/nav/nb?12084
Google beloofde onmiddellijk beterschap en hield woord - tot de ontdekking van dit nieuwe lek.
Zie ook:
http://www.securitytracker.com/alerts/2004/Sep/1011351.html
Gelogd
