Facebook hat einige Cross-Site-Scripting-Lücken (XSS) geschlossen, die von der Sicherheitsfirma Break Security gefunden wurden und nun genauer
Im Chat konnten etwa Links geteilt werden, die Facebook nicht ausreichend überprüfte. So ließen sich JavaScript-Befehle als Links tarnen, die dann vom Chat automatisch eingebunden wurden. Klickten Nutzer auf diese speziell präparierten Nachrichten, wurde bei ihnen der eingeschleuste Code ausgeführt.
Der "Check-in"-Dienst ließ sich manipulieren, indem eigene Orte generiert wurden. In den dazugehörigen Einstellungen ließ sich ebenfalls ein JavaScript einschleusen. Checkten Nutzer in so einen Ort ein, wurde clientseitig XSS ausgeführt.
Durch das Erstellen einer Seite bei Facebook, konnte auch der Messenger für Windows korrumpiert werden. Seiten dürfen Nachrichten an alle Nutzer schicken. Wurde ein JavaScript als Seitenname gewählt und verschickte die Seite nun Nachrichten an Nutzer, wurde bei diesen jedesmal das Skript ausgeführt, sobald sie sich in den Messenger einloggten.
heise-security.de
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
werden. Wie Firmenchef Nir Goldshlager darlegt, ließ sich das soziale Netzwerk unter anderem über den Chat, die Ortsdienst-Funktion "Check in" und den Messenger für Windows angreifen.Im Chat konnten etwa Links geteilt werden, die Facebook nicht ausreichend überprüfte. So ließen sich JavaScript-Befehle als Links tarnen, die dann vom Chat automatisch eingebunden wurden. Klickten Nutzer auf diese speziell präparierten Nachrichten, wurde bei ihnen der eingeschleuste Code ausgeführt.
Der "Check-in"-Dienst ließ sich manipulieren, indem eigene Orte generiert wurden. In den dazugehörigen Einstellungen ließ sich ebenfalls ein JavaScript einschleusen. Checkten Nutzer in so einen Ort ein, wurde clientseitig XSS ausgeführt.
Durch das Erstellen einer Seite bei Facebook, konnte auch der Messenger für Windows korrumpiert werden. Seiten dürfen Nachrichten an alle Nutzer schicken. Wurde ein JavaScript als Seitenname gewählt und verschickte die Seite nun Nachrichten an Nutzer, wurde bei diesen jedesmal das Skript ausgeführt, sobald sie sich in den Messenger einloggten.
heise-security.de
