Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Google Desktop Search: Revelación de búsqueda local
 
VSantivirus No. 1628 Año 8, martes 21 de diciembre de 2004

 Google Desktop Search: Revelación de búsqueda local
http://www.vsantivirus.com/vul-google-ds-201204.htm

Por Angela Ruiz
angela@videosoft.net.uy

Google Desktop Search es una aplicación (aún en versión beta), que se integra al escritorio de Windows, y que proporciona una excelente herramienta de búsqueda en los archivos locales, tan potente como el buscador Google en Internet. La aplicación puede buscar textos en el correo electrónico, archivos, chats y páginas web visitadas.

Una vulnerabilidad recientemente reportada, puede permitir que un usuario remoto acceda a la información local obtenida en las búsquedas.

El problema reside en la forma en que Google Desktop Search intercepta las conexiones de red salientes de la computadora del usuario.

Cuando está activada la integración de Google con la búsqueda local, si la aplicación detecta que una búsqueda se ha realizado en Internet utilizando el motor de Google, guarda localmente los resultados obtenidos para que aparezcan en una posterior búsqueda de páginas visualizadas, sin que ninguna información acerca del contenido de la computadora sea almacenada en ningún momento en Internet.

Sin embargo, es posible para un atacante engañar al programa con un applet de Java o un JavaScript, para que el programa almacene esos resultados en otras páginas web, donde el atacante podría leerlos. El código, al ejecutarse en el sistema del usuario, también accedería al resultado de la búsqueda local, pudiendo enviar esos datos a un servidor remoto, creando una grave fuga de información.

Para llevar a cabo tal ataque, el usuario debe ser convencido para visitar un sitio web controlado por el atacante, donde el código malicioso deberá ser descargado y ejecutado por la víctima (un applet de Java o un JavaScript).

Este tipo de ataque funciona solo si se ha activado la integración con la búsqueda local a través del menú de preferencias del Google Desktop Search.

Google ha corregido el problema en la última versión de este software, el que ya está disponible de forma gratuita para su descarga.


Solución:

Descargar e instalar la última versión de Google Desktop Search desde el siguiente enlace:

http://desktop.google.com/


Créditos:

Seth Fogarty
Seth Nielson
Dan Wallach


Más información:

(Archivo PDF)
http://seclab.cs.rice.edu/gdesktop-tr-dec04.pdf




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS