osterreich

Browser-Updates gegen Cross-Site-Scripting

In osterreich on Dezember 27, 2007 at 11:15 am

Sicherheitsexperte betont Wichtigkeit der Maßnahmen

Mozilla hat die Firefox 3.0 Beta 2 vorgestellt. Unter über 900 Verbesserungen gegenüber der ersten Vorversion findet sich ein Sicherheitsupdate, dass eine Anfälligkeit gegen Cross-Site-Scripting (XSS) eliminiert. Fast zeitgleich hat Opera seinen Browser mit Version 9.25 ebenfalls besser gegen XSS abgesichert. "Wenn Cyberkriminelle eine XSS-Lücke in einem Browser nutzen, können sie ein großes Publikum angreifen", erklärt Thomas Kristensen, Sicherheitsexperte von Secunia http://www.secunia.com.

Die zweite Version der Firefox 3.0 Beta adressiert als Teil der Updates das Problem sogenannter JSON-Datenlecks, bei denen theoretisch JavaScript-Objektdaten an einen anderen Server umgeleitet werden könnten. Opera dagegen schließt mit zwei von insgesamt fünf Fixes potenzielle XSS-Lücken durch Plug-Ins und Rich-Text-Bearbeitung. "Es ist sehr wichtig, auf XSS-Schwachstellen in Browsern zu reagieren", meint Kristensen. Er erläutert das hohe Gefahrenpotential: "Ein XXS-Lücke gegen eine SSL-Site einzusetzen erlaubt falsche Information im Kontext der Site anzuzeigen. Potenziell können so Daten gestohlen werden, die eigentlich an die SSL-Site gehen sollte."

XSS-Schwachstellen gibt es nicht nur in Browsern, sondern auch in spezifischen Websites und Anwendungen – und das laut Kristensen relativ häufig. Allerdings sei deren Ausnutzung für Cyberkriminelle deutlich schwieriger. Nutzer müssten erst durch Social Hacking dazu gebracht werden, auf bestimmten Sites entsprechende Aktionen zu setzen. Allerdings könnte ein entsprechender Exploit bei der richtigen, an sich vertrauenswürdigen Site sehr profitabel sein. Als theoretisches Beispiel führt Kristensen Amazon an. Wer dort eine XSS-Lücke fände, könne Nutzer vermutlich zur Herausgabe von Daten bis hin zur Kreditkartennummer bewegen und so Profit schlagen. Allerdings würde ein so großes Unternehmen sicher schnell reagieren, falls eine Site-spezifische XSS-Lücke bekannt wird.

Insgesamt sieht Kristensen in Cross-Site-Scripting jedenfalls ein großes Problem im gegenwärtigen Web. "Wenn ich ein Cyberkrimineller wäre, würde ich mir überlegen, XSS-Lücken auszunutzen. Sie sind leicht zu finden und auszunutzen", bringt er die Problematik auf den Punkt. Damit verleiht er der Bedeutung des Abdichtens entsprechender Lecks durch Anbieter besonderen Nachdruck.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: