Schwachstellen bei T-Mobile.de, SPD.de und Bundesregierung.de [Update]
Durch die Lücken ermöglichtes Cross Site Scripting (XSS) könnte Angreifern beim Phishing von Benutzerinformationen und vertraulichen Daten behilflich sein.
- Christiane Rütten
Die Internetportale T-Mobile.de, SPD.de und Bundesregierung.de sind anfällig für Cross Site Scripting (XSS). Laut einem Blog-Eintrag von Felix Becker ist es möglich, per URL-Parameter beliebigen JavaScript-Code und eigene Inhalte in die aufgerufenen Webseiten einzubetten. Das Blog zeigt auch mehrere Screenshots der durch XSS teilweise oder vollständing veränderten Webseiten.
Ein Angreifer könnte beispielsweise in E-Mails oder auf einer Webseite ahnungslose Anwender zum Klicken auf einen manipulierten Link verleiten. Aufgrund der Lücken bekämen diese nicht mehr die ursprüngliche verlinkte Seite, sondern teilweise oder vollständig vom Angreifer bestimmte Inhalte im Browser angezeigt. Damit könnte er dann beispielweise im Namen der großen Portale zur Eingabe von vertraulichen Daten auffordern und diese an eigene Server im Internet übermitteln oder Login-Cookies seiner Opfer ausspähen.
Besonders prekär an den XSS-Lücken ist, dass sich Besucher leichter zur Eingabe vertraulicher Daten bewegen lassen dürften, wenn die Aufforderung allem äußeren Anschein nach von einer namhaften Website stammt. Erst vergangene Woche wurden vergleichbare Lücken bei Internet.com, Amazon und MSN bekannt. Details zu den nun veröffentlichten Schwachstellen möchte Becker erst nennen, sobald sie behoben wurden oder falls die Betreiber nicht reagieren. Die Webmaster der betroffenen Seiten habe er bereits informiert.
Update:
Offenbar haben die Betreiber von T-Mobile.de und SPD.de die Lücke inzwischen geschlossen.
Siehe dazu auch: (cr)
- Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security
