Faz.net und der injizierte Code
Sicherheitslücken ermöglichten es, dem FAZ-Webauftritt beliebige HTML-Quelltexte unterzuschieben.
Das Online-Angebot der FAZ, Faz.net, wies über einen längeren Zeitraum an mehreren Stellen Sicherheitslücken auf. Diese ermöglichten es, der Site HTML-Quelltexte unterzuschieben. Wäre es einem Angreifer gelungen, sein Opfer auf eine entsprechend präparierte Seite auf Faz.net zu leiten, so hätte er dort beliebigen Code ausführen können, etwa ein bösartiges Skript.
Auf die Gefahr durch "Malicious HTML Tags Embedded in Client Web Requests" hat das Cert schon Anfang 2000 in einem Advisory hingewiesen. Nichtsdestotrotz ist es noch bei vielen Websites möglich, Code zu platzieren, etwa in Gästebüchern und Diskussionsforen. Ein Leser hatte heise online auf das Problem bei Faz.net hingewiesen. Von heise online über die Sicherheitslücken informiert, haben die Betreiber von Faz.net sie mittlerweile aus der Welt geschafft. Berichte, dass ein Angreifer die Sicherheitsmängel ausgenutzt hat, liegen uns nicht vor. (jo)
