XSS-Schwachstelle auf Bundesregierung.de

Angreifer erhalten erneut die Gelegenheit, beliebigen HTML- und JavaScript-Code in die Webseite der Bundesregierung einzubetten, wenn sie ihre Opfer dazu bringen können, auf spezielle Links zu klicken.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christiane Rütten

Aufgrund der XSS-Lücke erscheinen beliebige Inhalte im Layout von Bundesregierung.de, wenn man auf einen präparierten Link klickt.

Die offizielle Website der Bundesregierung weist eine Schwachstelle auf, über die sich mit Hilfe manipulierter Links beliebige Inhalte ins Seitenlayout einbetten lassen. Der Entdecker dieser so genannten Cross-Site-Scripting-Schwachstelle (XSS), Marcell Dietl, hat in seinem Blog Beispiel-Links gepostet, die nach einem Klick durch den Anwender die Regierungsseite beispielsweise mit einem Bild des Schauspielers Sylvester Stallone öffnen.

Der Programmierfehler liegt offenbar in einem Skript der Funktion "Seite empfehlen", das Daten aus der URL ungefiltert in den Quellcode der erzeugten Webseite übernimmt. Die Empfehlungsfunktion bietet Webseitenbesuchern die Möglichkeit, Bekannte per E-Mail auf Inhalte der Bundesregierungs-Website hinzuweisen. Im jetzigen Zustand bietet sie allerdings auch Angreifern einen Weg, ahnungslose Opfer im Namen der Bundesregierung beispielsweise nach persönlichen Daten auszufragen, mit Phantasie-Pressemeldungen zu verwirren oder mit beliebigem JavaScript-Code zu schaden.

Die Schwachstelle weckt Erinnerungen an den vermeintlichen Rücktritt von Bundeskanzlerin Angela Merkel vor etwa einem Jahr. Im September vergangenen Jahres war es eine ungenügend filternde Suchfunktion, die beliebigen Angreifer-Code in die Website der Bundesregierung einbettete. (cr)