zurück zum Artikel

Nutzer "checken" in einen Ort "ein" und schon wird Cross-Site-Scripting (XSS) ausgeführt. Diese und andere XSS-Lücken hat Facebook jetzt geschlossen. Schlupflöcher lauerten außerdem noch im Chat und im Messenger für Windows.

Facebook hat einige Cross-Site-Scripting-Lücken (XSS) geschlossen, die von der Sicherheitsfirma Break Security gefunden wurden und nun genauer beschrieben [1] werden. Wie Firmenchef Nir Goldshlager darlegt, ließ sich das soziale Netzwerk unter anderem über den Chat, die Ortsdienst-Funktion "Check in" und den Messenger für Windows angreifen.

Im Chat konnten etwa Links geteilt werden, die Facebook nicht ausreichend überprüfte. So ließen sich JavaScript-Befehle als Links tarnen, die dann vom Chat automatisch eingebunden wurden. Klickten Nutzer auf diese speziell präparierten Nachrichten, wurde bei ihnen der eingeschleuste Code ausgeführt.

Der "Check-in"-Dienst ließ sich manipulieren, indem eigene Orte generiert wurden. In den dazugehörigen Einstellungen ließ sich ebenfalls ein JavaScript einschleusen. Checkten Nutzer in so einen Ort ein, wurde clientseitig XSS ausgeführt.

Durch das Erstellenen einer Seite bei Facebook, konnte auch der Messenger für Windows korrumpiert werden. Seiten dürfen Nachrichten an alle Nutzer schicken. Wurde ein JavaScript als Seitenname gewählt und verschickte die Seite nun Nachrichten an Nutzer, wurde bei diesen jedesmal das Skript ausgeführt, sobald sie sich in den Messenger einloggten. (kbe [4])

URL dieses Artikels:
https://www.heise.de/-1845343

Links in diesem Artikel:
[1] http://www.breaksec.com/?p=6129
[2] http://www.breaksec.com/?p=6129
[3] http://www.breaksec.com/?p=6129
[4] mailto:kbe@heise.de

Copyright © 2013 Heise Medien