XSS-Wurm tobte durch Reddit

Ein Hacker hat auf Reddit, eine der größten News-Aggregator-Sites, eine Cross-Site-Scripting-Lücke ausgenutzt, durch die angemeldete Anwender beim Lesen eines Kommentars ungewollt Massen von Kommentaren zu Meldungen abschickten. Der Hacker mit dem Pseudonym Xssfinder machte sich zunutze, dass Reddit in Kommentaren enthaltenes JavaScript nicht unter allen Umständen ausfilterte – beispielsweise wenn man den Mauszeiger über dem Kommantartext schweben lässt. Zudem nutzte er einen Trick, durch die ein Kommentar an sämtliche Meldungen der angezeigten Seite gepostet wurde. Da die Kommentare wiederum JavaScript enthielten, verbreiteten sich die präparierten Kommentare einem Wurm gleich über Reddit.

Mittlerweile ist die Schwachstelle beseitigt. Die präparierten Kommentare sind gelöscht – daher ist bei vielen Einträgen zu einer Meldung nur noch der Eintrag "[deleted]" zu sehen. Über Schaden auf Anwenderseite ist nichts bekannt. Auch der populäre Dienst Twitter hatte Anfang des Jahres immer wieder mit XSS-Problemen zu kämpfen. Schutz vor derartigen Angriffen bietet Anwendern des Firefox-Browsers das Plug-in NoScript. Anwender des Internet Explorer könnten beim Besuch von Reddit temporär JavaScript deaktivieren. (dab)