StudiVZ und 1&1 beseitigen Cross-Site-Scripting-Schwachstellen [Update]

Über die Schwachstellen hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Das Portal SchülerVZ war ebenfalls betroffen.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Über Schwachstellen in StudiVZ hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Das Portal SchülerVZ war ebenfalls betroffenn. Die XSS-Lücke bei StudiVZ befand sich im Login-Formular. Durch die fehlende Filterung von Quotes (") war es möglich, in die Felder "E-Mail" und "Passwort" JavaScript hineinzuschreiben. Bei einer Demo des Entdeckers der Lücke, dem heise-online-Leser Sergej S., wurde das Script ausgeführt, sobald man die Maus über eines der Felder bewegte. Prinzipiell hätte etwa ein Phisher mit einem Skript die eingegebenen Login-Daten von Nutzern abgreifen können. Für einen erfolgreichen Angriff hätte ein Opfer aber auf einen präparierten Link klicken müssen, etwa in einer Mail oder einer Webseite.

StudiVZ konnte den Fehler [Update]nach dem ersten Hinweis von heise Security nachvollziehen und behob den Fehler. Zudem wurde ein weiterer Fehler im Eingabeformular beseitigt. [/Update] Der gleiche Fehler befand sich auch im Login-Formular von SchülerVZ, er wurde dort aber ebenfalls behoben.

1&1 hatte hingegen mit einer Cross-Site-Scripting-Lücke in seinem Webmailer zu kämpfen. In der Betreffzeile enthaltenes JavaScript wurde beim Öffnen im Browser im Kontext von 1&1 ausgeführt. Ein Angreifer hätte mit einer präparierten Mail beispielsweise das Cookie kopieren können oder Zugriff auf weitere Mails erhalten können. 1&1 hat die Lücke innerhalb eines Tages nach der Benachrichtigung durch heise Security geschlossen. Zudem will man den Vorfall laut Pressesprecher Andreas Maurer zum Anlass nehmen, den gesamten 1&1-Webmailer in den nächsten Wochen einem ausführlichen Sicherheitscheck unterziehen.

Siehe dazu auch:

(dab)