Gefährliche Nachrichten bei den Lokalisten

Durch ein Sicherheitsproblem beim sozialen Netzwerk Lokalisten war es Angreifern bis vor kurzem möglich, über spezielle Nachrichten etwa die Benutzereinstellungen anderer Nutzer zu ändern. Dem heise-Leser "flood-1k4" war aufgefallen, dass es möglich war, in Nachrichten an andere Nutzer JavaScript einzuschleusen. Zwar filtert Lokalisten aus Nachrichten, die mit dem Netzwerk-eigenen Nachrichtensystem versendet werden, JavaScript eigentlich aus. Der Filter ließ sich aber austricksen, indem man JavaScript-Code geschickt schachtelte.

Der Anwender musste die an ihn gesendete Nachricht lediglich öffnen, um den Code zu aktivieren, der dann im Rahmen seines Accounts quasi beliebige Aktivitäten entfalten konnte (persistentes Cross Site Scripting, XSS). Im Prinzip hätte sich die Lücke ausnutzen lassen, um zum Beispiel eine Spamwelle loszutreten, wie sie in Facebook immer wieder vorkommt. Es ist aber nicht bekannt, dass das Problem ausgenutzt worden wäre. Von heise online darauf aufmerksam gemacht, hat der Betreiber der Plattform die Lücke mittlerweile geschlossen. (jo)