Cross-Site-Scripting-Lücke in Paypal-Seite

Die Online-Bank Paypal setzt auf sogenannte Extended-Validation-SSL-Zertifikate (EV-SSL), die eine strengere Prüfung verlangen und dadurch eine höhere Sicherheit der Webseite versprechen. Eine Cross-Site-Scripting-Lücke in Paypals Internetseite zeigt jedoch, dass auch EV-SSL nicht vor untergeschobenen Inhalten in einer Webseite schützt.

Die EV-SSL-Zertifikate sollen im Webbrowser wie dem Internet Explorer ab Version 7 und Firefox ab der kommenden Version 3 mit einer grün unterlegten Adressleiste anzeigen, dass sich der Besucher auf der echten Webseite befindet und nicht auf einer Phishing-Seite. Durch die Cross-Site-Scripting-Lücke könnten Angreifer jedoch etwa die Log-in-Daten an fremde Server schicken und möglicherweise auch Cookies stehlen, ohne dass der Anwender gewarnt würde; die Adressleiste bleibt den Berichten zufolge grün unterlegt.

Der finnische Sicherheitsforscher Harry Sintonen hat in einem IRC-Chat die Lücke demonstriert: Beim Besuch der Seite soll sich ein Pop-up-Fenster geöffnet haben. Zudem soll Sintonen britischen Medien eine weitere Demonstration vorgeführt haben, bei der ein eingeschleustes JavaScript einen Log-in-Prompt erzeugte und die Daten an einen nicht autorisierten Server geschickt hat. Bis vergangenen Freitag soll eBay die Lücke in der Webseite seines Tochterunternehmens noch nicht geschlossen haben.

Einer Paypal-Stellungnahme zufolge genieße die Sicherheit der Paypal-Nutzer höchste Priorität. "Als wir über die Schwachstelle informiert wurden, haben wir umgehend damit begonnen, sie zu schließen." In der Stellungnahme führt das Unternehmen demzufolge weiter aus, dass "unserem Kenntnissstand nach diese Lücke in keinem Phishing-Angriff missbraucht wurde." Noch vor rund vier Wochen hatten Paypal-Manager überlegt, Browser auszusperren, die EV-SSL nicht unterstützen.

[Update]: Das "Extended Validation" in EV-SSL bedeutet lediglich, dass der Aussteller etwas mehr Aufwand betrieben hat, die Identität des Zertifikatsinhabers zu überprüfen. Eine wie auch immer geartete Sicherheitsüberprüfung der Site ist damit nicht verbunden. Somit erhöht EV-SSL zwar die Verlässlichkeit einer Identitätsangabe, vor Sicherheitsproblemen wie Cross Site Scripting kann es genauso wenig schützen, wie SSL – nämlich gar nicht. Das steht in gewissem Widerspruch zu den Marketing-Aktivitäten von Verisign und Co, die EV-SSL als Sicherheits-Feature verkaufen.

Siehe dazu auch:

• PayPal XSS Vulnerability Undermines EV SSL Security, Meldung von Netcraft

(dmk/c't)