Bilderhoster ImageShack ignoriert seit Februar Sicherheitslücken

Dieses Thema im Forum "PC&Internet News" wurde erstellt von josef.13, 14. September 2012.

  1. josef.13
    Offline

    josef.13 Moderator Digital Eliteboard Team

    Registriert:
    1. Juli 2009
    Beiträge:
    16.731
    Zustimmungen:
    16.225
    Punkte für Erfolge:
    113
    Ort:
    Sachsen
    Der Hoster für Bilder und Videos, ImageShack, birgt mehrere Sicherheitslücken, die den Betreibern bereits im Februar dieses Jahres gemeldet wurden. Der Hinweisgeber erhielt keine Antwort auf seine E-Mails. Bei ImageShack ist der Webplayer für Bilder-Slideshows von der Problematik betroffen. Die Cross-Site-Scripting-Lücken (XSS) sind trotz der langen Reaktionszeit noch immer offen.

    Der Autor von Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren entdeckte Anfang des Jahres Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren beim Bilder-Hoster ImageShack. Er meldete diese dem Betreiber und wartete erfolglos auf eine Antwort. Da der Webplayer für Bilder-Slideshows über mehrere Server läuft, ist die Lücke gleich mehrfach vorhanden. Penetrationstester Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren prüfte die Meldung und konnte die Ausnutzung der Lücke in vollem Umfang bestätigen. TomAte Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren in einem aktuellen Blogeintrag davor, XSS-Lücken nicht ernst zu nehmen. Darüber können Cookies fremder User entwendet und im schlimmsten Fall auch Schadcode auf dem betroffenen Webserver hinterlegt werden, um die Computer möglichst vieler Besucher zu infizieren. Gerade bei einem so beliebten und vielbesuchten Portal wie ImageShack wäre der Schaden enorm, weil entsprechend viele potentielle Opfer darüber erreicht werden können.

    Aktiv waren auch wieder die Kollegen von der Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren, die unter anderem den Fernsehsendern Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren und Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren beim Schließen von Lücken halfen. In der Mediathek des ZDF wurden mehrere XSS-Lücken ausfindig gemacht, die nun dicht sind. Ebenfalls geschlossen wurden die Bugs beim ARD. Cyberkriminelle hätten unter Ausnutzung der Lücken schädlichen Javascript-Code in die Webseite einbinden können. Auch eine Weiterleitung oder das Einbinden fremder Webinhalte wäre möglich gewesen. Die Lücken befanden sich überwiegend in den Online-Playern, aber auch auf einem Blog der ARD.

    Quelle: gulli
     
    #1

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.