Zitat
Durch eine Schwachstelle in Googles Webmail-Dienst Gmail soll es israelischen Medienberichten zufolge möglich sein, ohne Kenntnis des Passwortes Zugriff auf Mail-Konten zu erhalten. Dazu muss ein Angreifer sein Opfer allerdings dazu bringen, einen manipulierten Link anzuklicken, in dessen URL zusätzliches JavaScript versteckt ist. Der Link kann beispielsweise in einer Mail, in einer Webseite oder einem Dokument enthalten sein.
Gmail filtert diese Skripte nicht aus, sodass der Browser des Opfers sie im Kontext der Gmail zugeordneten Zone ausführt -- sofern darin ActiveScripting zugelassen ist. Diese als Cross-Site-Scripting-Schwachstelle bezeichnete Sicherheitslücke wurde zuletzt in Googles Desktop-Suchmaschine und der Web-Suchmaschine entdeckt. Google soll über das Problem bereits informiert sein und an einem Fix arbeiten.
Gmail filtert diese Skripte nicht aus, sodass der Browser des Opfers sie im Kontext der Gmail zugeordneten Zone ausführt -- sofern darin ActiveScripting zugelassen ist. Diese als Cross-Site-Scripting-Schwachstelle bezeichnete Sicherheitslücke wurde zuletzt in Googles Desktop-Suchmaschine und der Web-Suchmaschine entdeckt. Google soll über das Problem bereits informiert sein und an einem Fix arbeiten.
quelle
Security hole found in Gmail von Nana Netlife Magazin