Vulnérabilité colmatée dans Google Desktop Search
Bon outil pour le bon travail, et inversement
Google Desktop Search est une de ces applications qui peuvent rendre bien des services, mais dont la moindre faille de sécurité met à mal tout un système informatique, compte tenu de leur ouverture au web.
GDS est un outil d'indexation édité par le moteur américain, aidant l’utilisateur dans la recherche de mots, de données, de documents sur son disque dur ou sur le web. L’outil sait fouiller mails, photos, vidéos, documents textes, historiques de navigation, sous un grand nombre d’applications, dont Outlook, Outlook Express, Thunderbird, Internet Explorer, Netscape Mail, Netscape, Firefox, Word, Excel, PowerPoint, AOL Instant Messenger, etc.
Selon l’éditeur de solutions de sécurité WatchFire, une faille de sécurité dans l’application a pu non seulement ouvrir l’accès au contenu du disque local à un utilisateur distant, mais encore l’autoriser à prendre le contrôle intégral de l’ordinateur de l’usager. Ainsi que décrit dans un document PDF, l’attaque à distance profite d’une faille XSS (cross-site scripting) dans Google Desktop en conjonction avec une autre dans le domaine Google.com, et le tout via du code JavaScript.
Watchfire a exposé une démonstration animée en ligne exposant plusieurs scénarios d’attaques via Google Desktop Search : espionnage, vol de mot de passe sur sites sécurisés, exécution d'application à distance, etc. Alerté dès le 4 janvier dernier, Google, l’éditeur, a comblé les failles XSS seulement plusieurs semaines plus tard... Pour les versions déjà installées, les mises à jour ont été effectuées automatiquement, selon la configuration par défaut.
GDS est un outil d'indexation édité par le moteur américain, aidant l’utilisateur dans la recherche de mots, de données, de documents sur son disque dur ou sur le web. L’outil sait fouiller mails, photos, vidéos, documents textes, historiques de navigation, sous un grand nombre d’applications, dont Outlook, Outlook Express, Thunderbird, Internet Explorer, Netscape Mail, Netscape, Firefox, Word, Excel, PowerPoint, AOL Instant Messenger, etc.
Watchfire a exposé une démonstration animée en ligne exposant plusieurs scénarios d’attaques via Google Desktop Search : espionnage, vol de mot de passe sur sites sécurisés, exécution d'application à distance, etc. Alerté dès le 4 janvier dernier, Google, l’éditeur, a comblé les failles XSS seulement plusieurs semaines plus tard... Pour les versions déjà installées, les mises à jour ont été effectuées automatiquement, selon la configuration par défaut.
Marc Rees
le 22 février 2007 à 15:24
(12 461
lectures)
Actualités et brèves relatives
- 03 / 08 / 2006 : Accord entre Google, RealNetWorks et Mozilla
- 26 / 05 / 2006 : eBay s'allie avec Yahoo!, Google avec Dell
- 21 / 02 / 2006 : Google admet les problèmes de son Desktop 3
- 10 / 02 / 2006 : Google Desktop plongé dans la tourmente
- 04 / 11 / 2005 : Google veut breveter la recherche personnalisée
- 28 / 09 / 2005 : Yahoo Desktop Search passe en version finale
- 22 / 08 / 2005 : Google Desktop 2 débarque sur nos écrans
- 08 / 03 / 2005 : Disponibilité de Google Desktop Search v.1.0
