25.09.2006 13:27
Britische Banken reagieren auf heise-Sicherheitstests
Mit Nat West und UBS haben zwei britische Banken auf einen Bericht von heisec UK über Lücken auf ihren Web-Seiten reagiert. Dabei scheint es, als habe UBS vorschnell reagiert: Ein kurzer Test zeigt auf, dass die Benutzereingaben weiterhin nicht zuverlässig gefiltert werden. So ist es möglich, HTML-Code in die Seite für den Online-Banking-Zugang einzubringen und den angezeigten Inhalt zu verändern.
![Bild 1 [400 x 357 Pixel @ 25,4 KB]](/imgs/18/1/6/2/3/1/0/cd8d23084d71c5a4.jpg)
Das Ergebnis eines heisec-Tests auf der UBS-Webseite am Montagmorgen.
Nat West nutzt weiterhin Frames auf seiner Login-Seite für das Online-Banking, aber der Name des anfälligen Frames wurde entfernt, so dass er nicht mehr adressiert werden kann. Dadurch können Hacker nicht mehr ohne weiteres durch Frame Spoofing Inhalte ersetzen. Komplexere Angriffe sind allerdings weiterhin möglich.
Vergangene Woche hatten Tests von heisec UK auf neun Internetauftritten von britischen Banken aufgezeigt, dass nur drei von ihnen immun gegen einfache Angriffe sind, mit denen sich nahezu perfekte Phishing-Seiten aufsetzen ließen. Die betroffenen Banken wurden informiert.
Siehe dazu auch:
(anw)
- Banks react to heise Security demo, Originalartikel auf heise Security/UK
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
