Foi detectada uma nova falha de segurança no Google Desktop. O software de pesquisa no PC é vulnerável a uma variação num ataque web conhecido por anti-DNS pinning que pode dar a um atacante todos os dados indexados pelo Google Desktop, escreve o InfoWorld.



O novo problema de segurança é descoberto menos de uma semana depois de uma outra falha ter sido identificada por empresas do sector e corrigida pela Google, embora não de forma totalmente eficaz, garantia a Watchfire que identificou o problema.



À semelhança do que acontecia com a primeira falha detectada, também neste caso um ataque bem sucedido depende do exploit prévio de uma outra falha no cross-site scripting do Google.com. Se o procedimento for cumprido as consequências podem ser graves, sublinha Robert Hansen, CEO da Sectheory.com, empresa de segurança que detectou o segundo problema.



O anti-DNS pinning é uma área ainda pouco estudada pelos investigadores em termos de segurança. O mesmo não acontece com as falhas de cross-site scripting, detectadas com regularidade. A variação do ataque anti-DNS pinning manipula a forma como o browser interage com o DNS apontando o Google para um endereço IP diferente e conseguindo enviar a informação indexada para um destino diferente do que seria normal. Deixa de ser o Google a receber o tráfego para ser o atacante.



A Google já reagiu e diz que está a investigar as informações fornecidas, mas acrescenta que ainda recentemente adicionou "um novo layer de verificações de segurança à última versão do Google Desktop para no futuro proteger os utilizadores de vulnerabilidades relacionadas com a integração da pesquisa web".



O investigador que detectou a nova falha optou por não publicar na Internet a sua prova de conceito.



Notícias Relacionadas:

2007-02-21 - Falha no Google Desktop pode ter exposto informação pessoal de utilizadores