PayPal schließt XSS-Lücke in Händlerportal
Ein Phisher hätte dies unter anderem dafür nutzen können, Anwendern respektive Händlern ein Login-Formular unterzujubeln, um Name und Passwort zu kopieren.
- Daniel Bachfeld
Der Internet-Bezahldienst PayPal hat eine Cross-Site-Scripting-Schwachstelle in einem Händlerportal geschlossen. Dadurch war es mittels eines manipulierten Links möglich, eigene Inhalte in die im Browser dargestellten Seiten einzubinden und darzustellen. Ein Phisher hätte dies unter anderem dafür nutzen können, Anwendern respektive Händlern ein Login-Formular unterzujubeln, um Name und Passwort zu kopieren.
Ursache der Schwachstelle war ein Fehler in einem Formular auf paypal-deutschland.de, die zwar zu PayPal gehört, aber nach Angaben des Anbieters völlig unabhängig betrieben wird. Ob ein Anwender den Unterschied aber bemerkt hätte, ist fraglich, zumal die betroffene Seite als SSL-gesichert im Browser erschien.
Laut PayPal hat man den Fehler zum Anlass genommen, einen umfassenden Systemcheck durchzuführen. Eine Analyse der Log-Dateien habe ergeben, dass ein Missbrauch der Schwachstelle nicht stattgefunden habe. Auch konnte zu keinem Zeitpunkt der Zugriff auf Daten von PayPal-Nutzern erfolgen. (dab)
