Der Hoster für Bilder und Videos, ImageShack, birgt mehrere Sicherheitslücken, die den Betreibern bereits im Februar dieses Jahres gemeldet wurden. Der Hinweisgeber erhielt keine Antwort auf seine E-Mails. Bei ImageShack ist der Webplayer für Bilder-Slideshows von der Problematik betroffen. Die Cross-Site-Scripting-Lücken (XSS) sind trotz der langen Reaktionszeit noch immer offen.
Der Autor von TomAte's Blog entdeckte Anfang des Jahres XSS-Lücken beim Bilder-Hoster ImageShack. Er meldete diese dem Betreiber und wartete erfolglos auf eine Antwort. Da der Webplayer für Bilder-Slideshows über mehrere Server läuft, ist die Lücke gleich mehrfach vorhanden. Penetrationstester Matthias Ungethuem prüfte die Meldung und konnte die Ausnutzung der Lücke in vollem Umfang bestätigen. TomAte warnt in einem aktuellen Blogeintrag davor, XSS-Lücken nicht ernst zu nehmen. Darüber können Cookies fremder User entwendet und im schlimmsten Fall auch Schadcode auf dem betroffenen Webserver hinterlegt werden, um die Computer möglichst vieler Besucher zu infizieren. Gerade bei einem so beliebten und vielbesuchten Portal wie ImageShack wäre der Schaden enorm, weil entsprechend viele potentielle Opfer darüber erreicht werden können.
Aktiv waren auch wieder die Kollegen von der Internetwache, die unter anderem den Fernsehsendern ARD und ZDF beim Schließen von Lücken halfen. In der Mediathek des ZDF wurden mehrere XSS-Lücken ausfindig gemacht, die nun dicht sind. Ebenfalls geschlossen wurden die Bugs beim ARD. Cyberkriminelle hätten unter Ausnutzung der Lücken schädlichen Javascript-Code in die Webseite einbinden können. Auch eine Weiterleitung oder das Einbinden fremder Webinhalte wäre möglich gewesen. Die Lücken befanden sich überwiegend in den Online-Playern, aber auch auf einem Blog der ARD.
Quelle: gulli
Der Autor von TomAte's Blog entdeckte Anfang des Jahres XSS-Lücken beim Bilder-Hoster ImageShack. Er meldete diese dem Betreiber und wartete erfolglos auf eine Antwort. Da der Webplayer für Bilder-Slideshows über mehrere Server läuft, ist die Lücke gleich mehrfach vorhanden. Penetrationstester Matthias Ungethuem prüfte die Meldung und konnte die Ausnutzung der Lücke in vollem Umfang bestätigen. TomAte warnt in einem aktuellen Blogeintrag davor, XSS-Lücken nicht ernst zu nehmen. Darüber können Cookies fremder User entwendet und im schlimmsten Fall auch Schadcode auf dem betroffenen Webserver hinterlegt werden, um die Computer möglichst vieler Besucher zu infizieren. Gerade bei einem so beliebten und vielbesuchten Portal wie ImageShack wäre der Schaden enorm, weil entsprechend viele potentielle Opfer darüber erreicht werden können.
Aktiv waren auch wieder die Kollegen von der Internetwache, die unter anderem den Fernsehsendern ARD und ZDF beim Schließen von Lücken halfen. In der Mediathek des ZDF wurden mehrere XSS-Lücken ausfindig gemacht, die nun dicht sind. Ebenfalls geschlossen wurden die Bugs beim ARD. Cyberkriminelle hätten unter Ausnutzung der Lücken schädlichen Javascript-Code in die Webseite einbinden können. Auch eine Weiterleitung oder das Einbinden fremder Webinhalte wäre möglich gewesen. Die Lücken befanden sich überwiegend in den Online-Playern, aber auch auf einem Blog der ARD.
Quelle: gulli
