eBay-Betrüger nutzen neue Cross-Site-Scripting-Methode

eBay-Betrügern ist es offenbar gelungen, eingestellte Warenbeschreibungen so zu manipulieren, dass sich beliebige Item-Nummern und die Mail-Adresse des Anbieters austauschen beziehungsweise überschreiben lassen. Damit ließen sich nicht nur Bieter in die Irre führen, auch eBays Maßnahmen zum Schutz vor betrügerischen Auktionen sollen sich so austricksen lassen.

Dazu nutzten die Betrüger eine Cross-Site-Scripting-Attacke in Zusammenhang mit der XML Binding Language (XBL), durch die sich Elemente in einem HTML-Dokument mit Skripten, Style-Sheets und anderen Objekten in einem HTML-Dokument auf einer anderen Webseite verknüpfen lassen. Allerdings ist noch offen, wo der Fehler genau zu suchen ist.

Zwar hat der Entwickler Cefn Hoile in der Fehlerdatenbank von Firefox eine Diskussion um eine Schwachstelle im Browser losgetreten, ohne die Möglichkeit, eigenen Code bei eBay einbinden zu können, würde der Angriff aber nicht funktionieren. So ist es möglich, Cascading-Style-Sheets (CSS) in eigenen Auktionen von anderen Webseiten nachzuladen, während sich JavaScript eigentlich nicht nachladen lassen sollte. Durch die Nutzung einer bestimmten Funktion soll das Nachladen und Ausführen verbotener Skripte aber dennoch möglich sein.

eBay will das Problem mittlerweile auf seinen Seiten behoben haben. Die Firefox-Entwickler überlegen, einen Patch zu entwickeln, der das Problem eindämmen soll. Allerdings weisen sie darauf hin, dass der Angriff keine Lücke im Browser ausnutze und etwa die Same-Origin-Policy nicht verletze. Vielmehr sei die Gefahr des Einbettens der Inhalte anderer Seiten seit Jahren bekannt. Nach Meinung der Entwickler müsse eBay einfach die nachgeladenen Inhalte besser filtern respektive prüfen.

Auch anderen Seiten, die das Einbetten von Code und Nachladen von CSS erlauben, sind von dem Problem betroffen. Zudem sollen auch die Internet-Explorer-Versionen 6 und 7 für derartige Angriffe anfällig sein. (dab)