MOTEUR DE RECHERCHE - Un utilisateur a pu prendre le contrôle d’une machine hôte Vulnérabilité colmatée dans Google Desktop Search

Google Desktop Search est une de ces applications qui peuvent rendre bien des services, mais dont la moindre faille de sécurité met à mal tout un système informatique, compte tenu de leur ouverture au Web. GDS est un outil d’indexation édité par le moteur américain, aidant l’utilisateur dans la recherche de mots, de données, de documents sur son disque dur ou sur le Web. L’outil sait fouiller mails, photos, vidéos, documents textes, historiques de navigation, sous un grand nombre d’applications, dont Outlook, Outlook Express, Thunderbird, Internet Explorer, Netscape Mail, Netscape, Firefox, Word, Excel, PowerPoint, AOL Instant Messenger, etc. Selon l’éditeur de solutions de sécurité WatchFire, une faille de sécurité dans l’application a pu non seulement ouvrir l’accès au contenu du disque local à un utilisateur distant, mais encore l’autoriser à prendre le contrôle intégral de l’ordinateur de l’usager. Ainsi que décrit dans un document PDF, l’attaque à distance profite d’une faille XSS (cross-site scripting) dans Google Desktop en conjonction avec une autre dans le domaine Google.com, et le tout via un code JavaScript. Watchfire a fait une démonstration animée en ligne exposant plusieurs scénarios d’attaques via Google Desktop Search: espionnage, vol de mot de passe sur sites sécurisés, exécution d’application à distance, etc. Alerté dès le 4 janvier dernier, l’éditeur Google n’a comblé les failles XSS que seulement plusieurs semaines plus tard… Pour les versions déjà installées, les mises à jour ont été effectuées automatiquement, selon la configuration par défaut.