Google schließt Cross-Site-Scripting-Lücke in YouTube-Kommentaren

Die Kommentare hatten es in sich: Unbekannte hatten am Wochenende mehrere Videos auf YouTube mit Kommentaren versehen, die HTML-Code enthielten, der im Browser des Besuchers ausgeführt wurde. US-Medienberichten zufolge waren insbesondere Videos des Teenie-Sängers Justin Bieber Ziel der Manipulationen.

Die Kommentare ließen laut Bericht Fenster mit beleidigenden Meldung aufpoppen und öffneten weitere (Erwachsenen-)Seiten. Ob die Seiten auch zu Malware-infizierten Webseiten führten und die PCs der Besucher infizierten, ist unbekannt. Daneben wurden aber auch deutsche Blogger Opfer der XSS-Attacken. Dort platzieren Unbekannte HTML-Code, die Texte per Laufschrift (Marquee-Tag) über den Schirm bewegten.

Prinzipiell hätten Angreifer über die Cross-Site-Scripting-Lücke auch Authentifizierungscookies auslesen und sich damit unter falscher Flagge bei YouTube anmelden können. Zwar gehört YouTube zu Google, der Zugriff auf Google-Konten war jedoch nicht möglich. Google hatte zunächst die Kommentarfunkton am Wochenende deaktiviert, nun ist die Lücke geschlossen. Für einige der betroffenen Videos ist die Funktion aber weiterhin abgeschaltet. Wie lange die Lücke schon bestand, ist unklar. Google will das Problem weiter untersuchen, damit dies künftig nicht mehr passiert.

Üblicherweise versuchen Webseitenbetreiber mit Abwehrmaßnahmen zu verhindern, dass Nutzer eigene aktive Inhalte wie JavaScript in Profilen, Kommentaren, Beschreibungen und anderen Informationen einbetten können. Kürzlich schloss auch Twitter eine XSS-Lücke in der Auswertung des verwendeten Twitter-Clients. Im Agent-String des Clients ließ sich Code einbetten, der beispielsweise im Browser eines Followers startete. (dab)