1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Gefährliche Sicherheitslücke beim Karriere-Portal LinkedIn

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 23. Mai 2011.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Aufgrund unverschlüsselter Cookies können Hacker auf die Benutzerprofile des Karriere-Portals LinkedIn zugreifen und persönliche Daten ausspionieren.[/FONT]
    [FONT=&quot]Der indische Sicherheitsexperte Rishi Narang hat eine gefährliche Sicherheitslücke beim Online-Karriere-Portal LinkedIn ausfindig gemacht und das Unternehmen heute auf das Schlupfloch für Hacker aufmerksam gemacht. Laut Narang ist es über die Website möglich, auf private Daten in den Nutzerprofilen zuzugreifen, ohne im Besitz des entsprechenden Passworts zu sein. [/FONT]
    [FONT=&quot]Dieser Umstand ergibt sich durch falsch gesetzte LinkedIn-Cookies. Die Minidateien speichern kurzzeitig die Login-Daten, damit sich Nutzer nicht bei jedem Seiten-Besuch wieder neu einloggen müssen. Während Cookies in der Regel nach 24 Stunden ihre Gültigkeit verlieren, um keine Sicherheitslücken zu öffnen, bleiben die Dateien bei LinkedIn zwölf Monate aktiv.[/FONT]
    [FONT=&quot]Gelangt ein Hacker in den Besitz des LinkedIn-Cookies, kann er sich also ohne große Mühe ins persönliche Profil des Betroffenen einloggen. Besonders gefährlich wird dieses Leck aufgrund der Tatsache, dass die Minidateien von LinkedIn unverschlüsselt übertragen werden. Surft ein Nutzer in offenen Netzwerken, wie beispielsweise in einem Internet-Café das Portal an, können die Cookies theoretisch von allen Netz-Teilnehmern ausgelesen werden. Entsprechende Tools sind kostenlos im Internet zu finden.

    LinkedIn reagierte sofort auf das Sicherheitsleck und bestätigte, dass das Unternehmen an verschlüsselten Cookies arbeite. Ein entsprechendes Update auf LinkedIn.com sei in den nächsten Monaten zu erwarten. Bis dahin rät das Portal seinen Nutzern, das Portal über verschlüsselte WLAN-Netze anzusurfen. Laut Narang bestehe das Risiko jedoch selbst mit verschlüsselten Cookies weiter. Wer wirklich sicher gehen will, sollte sich einen neuen LinkedIn-Account anlegen und diesen künftig nur noch über sichere Verbindungen betreuen.[/FONT]


    Quelle:pC-Welt
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.347
    Zustimmungen:
    99.643
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Gefährliche Sicherheitslücke beim Karriere-Portal LinkedIn

    Lücke im Internet Explorer ermöglicht Cookie-Klau

    Rosario Valotta hat eine Sicherheitslücke im Internet Explorer entdeckt, über die sich die Cookies eines Anwenders klauen lassen. Damit könnte sich der Angreifer dann beispielsweise unerlaubterweise bei diversen Web-Diensten einloggen, die sein Opfer nutzt.
    Eigentlich sorgen die Sicherheitszonen des Browsers aus dem Hause Microsoft dafür, dass sich Inhalte aus der lokalen Zone, also beispielsweise Cookies, die auf der Festplatte abgelegt sind, nicht in Websites einbetten lassen, die der Internetzone zugeordnet werden. Ausgerechnet bei Cookies scheint das dennoch zu funktionieren. Sie lassen sich problemlos in ein iFrame einbetten. Damit der Angreifer sie zu Gesicht bekommt, müssen die Cookies per Drag & Drop auf die eigentliche Website gezogen werden, die den iFrame umgibt.
    Gegenüber der Nachrichtenagentur '

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ' erklärte der italienische Sicherheitsforscher, dass sich mit Hilfe des so genannten Cookiejackings die Zugangsdaten für beliebige Websites herausfinden lassen, die vom Opfer genutzt werden, beispielsweise Facebook und Twitter. Mit seiner Methode soll sich jeder Cookie von jeder Website stehlen lassen. Sämtliche Versionen des Internet Explorers sind betroffen, auch die aktuelle Ausgabe 9. Welche Windows-Version eingesetzt wird, spielt keine Rolle.
    Zunächst muss jedoch die Hürde überwunden werden, das Opfer zu überreden, ein Objekt per Drag & Drop auf einer Website zu verschieben. Valotta hat dafür ein kleines Puzzle-Spiel entwickelt. Er verspricht seinen Opfern, dass sich die abgebildete Frau entkleidet, wenn das Puzzle zusammengesetzt ist. Einfach und effektiv. Er veröffentlichte das Spiel bei Facebook und bekam innerhalb von 3 Tagen rund 80 Cookies seiner 150 Freunde.
    Ein weiteres Hindernis stellt der Pfad der Cookies dar, für den der Angreifer den Windows-Nutzernamen seines Opfers kennen muss. Um diesen zu bekommen, muss lediglich ein Bild in die Website eingebettet werden, das auf einer SMB-Netzwerkfreigabe liegt. Bei der Authentifizierung sendet Windows den Benutzernamen im Klartext, so dass dieser umgehend im Besitz des Angreifers ist. Dazu muss beispielsweise mit einem Sniffer gelauscht werden.
    Wie ein Angriff aussehen kann, demonstriert der Italiener in einem Video. Microsoft erklärte in einer Stellungnahme, dass man kaum die Gefahr sieht, dass ein Angreifer mit der Methode Erfolg haben wird. Da das Opfer spezielle Aufgaben erfüllen muss, stuft Microsoft das Problem als nicht besonders kritisch ein. Ob die Redmonder dennoch einen Patch entwickeln werden, ist nicht bekannt. Als Valotta das Problem im Januar 2011 das erste Mal meldete, stopfte Microsoft die Lücke in der finalen Ausgabe des Internet Explorer 9. Allerdings konnte der Sicherheitsforscher eine leicht abgewandelte Methode finden, um an die Cookies zu gelangen. [​IMG]


    Quelle: winfuture
     
    #2

Diese Seite empfehlen