Der Hoster für Bilder und Videos, ImageShack, birgt mehrere Sicherheitslücken, die den Betreibern bereits im Februar dieses Jahres gemeldet wurden. Der Hinweisgeber erhielt keine Antwort auf seine E-Mails. Bei ImageShack ist der Webplayer für Bilder-Slideshows von der Problematik betroffen. Die Cross-Site-Scripting-Lücken (XSS) sind trotz der langen Reaktionszeit noch immer offen.
Der Autor von
Aktiv waren auch wieder die Kollegen von der
Quelle: gulli
Der Autor von
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
entdeckte Anfang des Jahres
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
beim Bilder-Hoster ImageShack. Er meldete diese dem Betreiber und wartete erfolglos auf eine Antwort. Da der Webplayer für Bilder-Slideshows über mehrere Server läuft, ist die Lücke gleich mehrfach vorhanden. Penetrationstester
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
prüfte die Meldung und konnte die Ausnutzung der Lücke in vollem Umfang bestätigen. TomAte
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
in einem aktuellen Blogeintrag davor, XSS-Lücken nicht ernst zu nehmen. Darüber können Cookies fremder User entwendet und im schlimmsten Fall auch Schadcode auf dem betroffenen Webserver hinterlegt werden, um die Computer möglichst vieler Besucher zu infizieren. Gerade bei einem so beliebten und vielbesuchten Portal wie ImageShack wäre der Schaden enorm, weil entsprechend viele potentielle Opfer darüber erreicht werden können.Aktiv waren auch wieder die Kollegen von der
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, die unter anderem den Fernsehsendern
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
beim Schließen von Lücken halfen. In der Mediathek des ZDF wurden mehrere XSS-Lücken ausfindig gemacht, die nun dicht sind. Ebenfalls geschlossen wurden die Bugs beim ARD. Cyberkriminelle hätten unter Ausnutzung der Lücken schädlichen Javascript-Code in die Webseite einbinden können. Auch eine Weiterleitung oder das Einbinden fremder Webinhalte wäre möglich gewesen. Die Lücken befanden sich überwiegend in den Online-Playern, aber auch auf einem Blog der ARD.Quelle: gulli