Google resuelve un 'agujero' en su servicio de búsqueda 'Google Desktop'

Hemos sabido de esta vulnerabilidad en el 'software' y hemos arreglado el problema para que todos los usuarios estén seguros", señaló la compañía en un comunicado.

El problema reside en la forma en que Google Desktop Search intercepta las conexiones de red salientes de la computadora del usuario.

Cuando está activada la integración de Google con la búsqueda local, si la aplicación detecta que una búsqueda se ha realizado en Internet utilizando el motor de Google, guarda localmente los resultados obtenidos para que aparezcan en una posterior búsqueda de páginas visualizadas, sin que ninguna información acerca del contenido de la computadora sea almacenada en ningún momento en Internet.

Sin embargo, es posible para un atacante engañar al programa con un applet de Java o un JavaScript, para que el programa almacene esos resultados en otras páginas web, donde el atacante podría leerlos. El código, al ejecutarse en el sistema del usuario, también accedería al resultado de la búsqueda local, pudiendo enviar esos datos a un servidor remoto, creando una grave fuga de información.

Para llevar a cabo tal ataque, el usuario debe ser convencido para visitar un sitio web controlado por el atacante, donde el código malicioso deberá ser descargado y ejecutado por la víctima (un applet de Java o un JavaScript).

Este tipo de ataque funciona solo si se ha activado la integración con la búsqueda local a través del menú de preferencias del Google Desktop Search.

Google ha corregido el problema en la última versión de este software, el que ya está disponible de forma gratuita para su descarga.


Solución:

Descargar e instalar la última versión de Google Desktop Search desde el siguiente enlace:

desktop.google.com/


Más información:

(Archivo PDF)
seclab.cs.rice.edu/gdesktop-tr-dec04.pdf