Cross-Site-Scripting-Lücken ohne Ende

Verisign, Symantec und McAfee mischen im Sicherheitsmarkt zwar ganz vorne mit, bei der Sicherheit der eigenen Seiten scheint man es aber nicht so genau zu nehmen. Das XSSed-Project zum Aufdecken von Cross-Site-Scripting-Lücken hat auf seinen Webseiten auf mehrere Lücken in den Auftritten der genannten Hersteller hingewiesen. Ein Angreifer könnte die Lücken beispielsweise ausnutzen, um Opfer mit vermeintlich vertrauenswürdigen Links auf infizierte Webseiten umzuleiten.

Bei Verisign ließen sich sogar Logins oder Formulare zur Eingabe von Bezahlinformationen beim Kauf von Zertifikaten vorgaukeln. Bis zur Benachrichtigung durch das XSSed-Project enthielten die Seiten von Verisign sechs XSS-Fehler, fünf davon sind mittlerweile beseitigt. McAfees Seiten wiesen insgesamt neun XSS-Schwachstellen auf, von denen sieben behoben sind. Symantecs Seiten enthielten sogar 17 XSS-Lücken, von denen immer noch sieben auf eine Korrektur warten.

Darüber hinaus gibt es eine Neuauflage des Phishmarket, einer Sammlung von XSS-Lücken in mehr oder minder bekannten Webseiten. Diesmal haben sich die Autoren US-amerikanische Regierungs- und Behördenseiten vorgenommen. Insgesamt wurde sie 47 Mal auf .gov-Seiten fündig. Zwar handelt es sich überwiegend um belanglose Seiten von Städten und Landkreisen, darunter finden sich aber auch die Auftritte der CIA sowie der Bundesstaaten Hawaii und Kalifornien.

Achtmal wurden sie sogar in .mil-Seiten fündig. Ob sich die XSS-Lücken etwa in Seiten des "Training and Doctrin Command" der U.S. Army erfolgreich für Phishing-Angriffe ausnutzen lassen, mag dahingestellt sein, sie zeigen aber, dass das Problem nicht auf die Webseiten drittklassiger Anbieter beschränkt ist.

Siehe dazu auch:

• Verisign McAfee and Symantec sites can be used for phishing due to XSS, Bericht von XSSed
• Phishmarket :: gov && mil :: 2008, Meldung auf Wired-Security

(dab)