Lücke in MSN-Webseite ermöglichte Ausspähen von Hotmail-Konten
Microsoft hat seine MSN-Webseite http://ilovemessenger.msn.com/ aufgrund einer Cross-Site-Scripting-Schwachstelle geschlosssen, über die Angreifer Besuchern die Cookies auslesen konnten.
Microsoft hat seine MSN-Webseite ilovemessenger.msn.com aufgrund einer Sicherheitslücke geschlossen, über die Angreifer Besuchern die Cookies auslesen konnten. Damit war es anschließend ohne Authentifizierung möglich, auf Hotmail-Konten zuzugreifen.
Ursache des Problems war eine Cross-Site-Scripting-Schwachstelle im MSN-Server, bei der der Browser des Opfers eingeschleusten Scripting-Code im Kontext der aufgerufenen Seite ausführte. Derartiger Code kann beispielsweise in präparierten URLs versteckt sein, den ein fehlerhafter, nicht filternder Server an den Client zurücksendet. Cross-Site-Scripting-Lücken sind ein weit verbreitetes Problem bei der Entwicklung von Web-Applikationen, bei der Benutzereingaben verarbeitet werden sollen. Ende Dezember fand der Sicherheitsspezialist Michael Krax innerhalb kürzester Zeit 175 verwundbare Server.
Microsoft versucht derzeit, den Fehler zu beheben. Die Seite, die Emoticons, Bildchen und Hintergünde für den MSN Messenger anbietet, will der Konzern alsbald wieder in Betrieb nehmen.
Dies ist das zweite Sicherheitsproblem einer MSN-Seite innerhalb einer Woche. Kürzlich fiel Microsofts koreanischer Webauftritt einem Angriff zum Opfer, in dessen Folge der Server manipuliert wurde, um Anwender mit Schadcode zu infizieren.
Siehe dazu auch: (dab)
- Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security
