Google heeft een zeer ernstig beveiligingslek in haar spreadsheets applicatie gedicht waardoor het voor hackers kinderspel was om Gmail logincodes en vertrouwelijke documenten te stelen en achterdeurtjes in software aan te brengen. Het probleem was aanwezig in spreadsheets.google.com. Via een cross-site scripting (XSS) aanval was het mogelijk om toegang tot alle Google diensten van het slachtoffer te krijgen.

"In dit geval heb ik een XSS op spreadsheets.google.com. Met deze enkele XSS kan ik je Gmail lezen, je broncode op code.google.com backdooren, al je Google Docs stelen, ik kan gewoon doen op Google wat ik wil alsof ik jou ben," laat beveiligingsonderzoeker Billy Rios weten.

De XSS-aanval van Rios misbruikt een functie binnen Internet Explorer. Het is echter niet alleen IE dat met het probleem te maken heeft, ook Firefox, Opera en Safari blijken in sommige gevallen content-type headers te negeren. "Security professionals en nog belangrijker ontwikkelaars moeten begrijpen hoe populaire browsers verschillende content-type headers verwerken, anders lopen hun applicaties risico op XSS." Google heeft de kwetsbaarheid inmiddels gedicht.

Met dank aan LaFolie voor het melden van dit nieuws