Experte warnt vor Lücken in namhaften Internet-Portalen

Schwachstellen bei Internet.com, Amazon und MSN sollen das Ausspähen von Kunden-Log-in-Daten und zum Teil sogar die Kompromittierung der Webserver selbst ermöglichen.

In Pocket speichern vorlesen Druckansicht 58 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christiane Rütten

Der Sicherheitsexperte Yash Kadakia warnt vor Sicherheitslücken in drei prominenten Internet-Portalen. In seinem Blog veröffentlichte er Screenshots der durch Cross Site Scripting (XSS) veränderten Seiteninhalte von Internet.com, Amazon und MSN. Dadurch können Angreifer beliebigen Skript-Code an die Browser derjenigen übermitteln, die sich zum Klicken auf einen manipulierten Link bewegen lassen. Außerdem enthalten die Seiten von Amazon und MSN seiner Einschätzung nach mehrere Schwachstellen, die sich teilweise sogar von Angreifern übers Netz nutzen lassen, um den Webservern beliebigen Code unterzuschieben. Auch die Lücke bei Internet.com soll sich auf diese Weise ausnutzen lassen.

Genaue Informationen, welche Server-Seiten betroffen sind und wie sich die Lücken ausnutzen lassen, will Kadakia erst veröffentlichen, wenn die Portalbetreiber weiterhin untätig bleiben. Er bemängelt in seinem Blog insbesondere die unzureichenden Reaktionen seitens der bekannten Firmen. Die Lücken habe er schon vor mehr als einem Jahr gemeldet, doch die meisten seien immer noch nicht behoben worden. Durch die schrittweise Offenlegung der Schwachstellen verspreche er sich, die zuständigen Betreiber zum Einlenken zu bewegen.

Cross-Site-Scripting ist eine Technik, mit der ein Angreifer über präparierte Links eigenen Skript-Code in die ausgelieferten Webseiten einbetten kann. Klickt ein Opfer auf einen solchen Link, führt sein Webbrowser den Code mit den Rechten der missbrauchten Webseite aus. In der Regel ist die Ursache eine unzureichende Filterung von Variablen, die per URL an die Skripte übergeben werden.

Hintergrundinformationen zum Thema liefert der Artikel Cross-Site-Scripting: Datenklau über Bande von heise Security. (cr)