XSS-Wurm legt MySpace lahm

Der erst vor kurzem vom Konzern des Medienmagnaten Rupert Murdoch gekaufte Portal-Dienst MySpace mit rund 35 Millionen Nutzern wurde vor einer Woche durch einen XSS-Wurm nahezu vollständig lahm gelegt. Ursache war ein kurzes Ajax-Skript, das durch eine Cross-Site-Scripting-Lücke (XSS) des Portals in der Lage war, sich selbst in die generierten Einladungen einzubetten. Beim Betrachten durch die Eingeladenen brachte sich das Script erneut zur Ausführung, um erneut Freunde einzuladen.

Nach Angaben des MySpace-Nutzers "Samy", der auf einer Webseite die Verantwortung für den Wurm übernahm und technische Details lieferte, war der Wurm lediglich sein erster Versuch der Web-Entwicklung mit Ajax und die Freisetzung nicht beabsichtigt. In einem Interview gegenüber Google Blogoscoped erklärte er, er habe nicht geahnt, dass der Wurm diese Ausmaße annehmen würde; er sei über die exponentielle Verbreitung überrascht gewesen. Innerhalb von nur rund 18 Stunden habe "Samy" mehr als eine Million "Freunde" angehäuft, bevor der Account endgültig vom Besitzer gelöscht worden sei.

Außergewöhnlich an diesem Wurm ist, dass er zur Verbreitung integralen Gebrauch von der Web-Applikation MySpace macht und sich vollkommen auf diese beschränkt. Die eigentliche Fortpflanzung geschieht von einem MySpace-Account zu einem anderen mittels einer Portal-Funktion "Freund hinzufügen", von der die Nutzer per Web-Browser Gebrauch machen. Somit sind nur die Mitglieder und Server von MySpace betroffen, ganz im Gegensatz zur Verbreitung von Schad-Code beispielsweise über SMTP (E-Mail) oder direktes Ansprechen offener Ports auf andere Rechner im Internet.

Insofern könnte man von einem reinen "Web 2.0-Wurm" sprechen, der sich ausschließlich auf Web-Applikationsebene bewegt. Parallelen zu diesem Konzept lassen sich bisher lediglich zur Verbreitung von Krankheiten in Online-Spielen ziehen, wo sich ebenfalls schadhafte Eigenschaften von Spieler-Account zu Spieler-Account übertragen. (cr)