eBay ignoriert XSS-Lücke ein Jahr lang
Eine Schwachstelle in eBay erlaubt es Angreifern eine Session mitzuschneiden und im schlimmsten Fall einen Account zu übernehmen. Die Lücke ist ein Jahr alt und wurde immer noch nicht geschlossen.
(Bild: dpa, Bernd Thissen/Archiv)
Im Nachrichtensystem von eBay klafft eine Cross-Site-Scripting-Lücke (XSS), über die Angreifer Schadcode ausführen könnten. Die Schwachstelle wurde bereits vor über einem Jahr vom Sicherheitsforscher Jaanus Kääp entdeckt und seinen Angaben zufolge mehrfach bei eBay gemeldet. Eine konkrete Auskunft habe er nie erhalten. Als Kääp Anfang dieser Woche die Angelegenheit wieder aufrollte, war er sehr überrascht, dass die Lücke immer noch existiert.
Um Schadcode auszuführen zu können genüge es Kääp zufolge, ein Foto an eine Mitteilung innerhalb des internen Nachrichtensystems von eBay zu hängen und einen GET-Request zu modifizieren. Postwendend sei es vorstellbar, dass man die Session beziehungsweise den Cookie des angeschriebenen eBay-Mitgliedes mitschneidet. An dieser Stelle könnte sich der Angreifer Zugang zu dem Account verschaffen, das Passwort ändern und so die Kontrolle übernehmen.
XSS-Lücken sind bei eBay keine Seltenheit. Ob die beschrieben Schwachstelle aktiv ausgenutzt wird, ist nicht bekannt. (des)
