O software Google Desktop está vulnerável a uma variação da pouco conhecida forma de ataque anti-DNS, o que pode resultar no acesso de dados pessoais pelo ataque, segundo pesquisadores de segurança.
Este é o segundo problema de segurança reportado no software em poucos dias. Na última semana, pesquisadores da Watchfire afirmaram ter encontrado uma falha que poderia permitir que atacantes lessem arquivos ou executassem códigos maliciosos através do Google Desktop.
Assim como a falha reportada pela Watchfire, esta nova falha precisa ser explorada através do cruzamento de scripts maliciosos no site do Google, mas as conseqüências podem ser mais sérias, segundo Robert Hansen, pesquisador independente que encontrou a falha. "Todos os dados acessados pelo Google desktop agora podem ser desviados para a máquina do atacante", segundo ele.
Falhas de cruzamento malicioso de scripts são vulnerabilidades comuns em servidores que podem ser exploradas para a execução remota de códigos maliciosos pelo navegador da vítima. Hansen, executivo chefe da Sectheory.com, não apresentou nenhum código prova-de-conceito, mas afirmou ter testado todos os componentes. Ele ainda postou alguns detalhes de como dados do Google Desktop podem ser comprometidos.
O Google afirmou que está investigando as afirmações de Hansen. "Além disso, nós recentemente adicionamos uma nova camada de segurança na mais recente versão do Google Desktop, para proteger os usuários de falhas relacionadas à integração no futuro", segundo a companhia num comunicado preparado.
Mais informações: ComputerWorld
