1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Facebook schließt Cross-Site-Scripting-Lücken

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 19. April 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.179
    Zustimmungen:
    2.690
    Punkte für Erfolge:
    113
    Beruf:
    Systemintegrator
    Ort:
    Астана
    Facebook hat einige Cross-Site-Scripting-Lücken (XSS) geschlossen, die von der Sicherheitsfirma Break Security gefunden wurden und nun genauer

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    werden. Wie Firmenchef Nir Goldshlager darlegt, ließ sich das soziale Netzwerk unter anderem über den Chat, die Ortsdienst-Funktion "Check in" und den Messenger für Windows angreifen.

    Im Chat konnten etwa Links geteilt werden, die Facebook nicht ausreichend überprüfte. So ließen sich JavaScript-Befehle als Links tarnen, die dann vom Chat automatisch eingebunden wurden. Klickten Nutzer auf diese speziell präparierten Nachrichten, wurde bei ihnen der eingeschleuste Code ausgeführt.
    Der "Check-in"-Dienst ließ sich manipulieren, indem eigene Orte generiert wurden. In den dazugehörigen Einstellungen ließ sich ebenfalls ein JavaScript einschleusen. Checkten Nutzer in so einen Ort ein, wurde clientseitig XSS ausgeführt.
    Durch das Erstellen einer Seite bei Facebook, konnte auch der Messenger für Windows korrumpiert werden. Seiten dürfen Nachrichten an alle Nutzer schicken. Wurde ein JavaScript als Seitenname gewählt und verschickte die Seite nun Nachrichten an Nutzer, wurde bei diesen jedesmal das Skript ausgeführt, sobald sie sich in den Messenger einloggten.

    heise-security.de

     
    #1

Diese Seite empfehlen