Используется уязвимость так: на домене типа *.google.com нужно загрузить какой-нибудь файл с нужным кодом, который при заходе пользователя читает cookie, и уже с этими cookie можно увидеть многое из данных жертвы. Изменить логин/пароль слава богу нельзя. Работает уязвимость только в Internet Explorer.

Как защититься? Единственный совет пока — выходить из аккаунта Google каждый раз когда не нужно использовать его службы, чтобы не кликнуть ненароком на опасную ссылку и не послать нехорошему человеку на растерзание свои cookie.