07.06.2005 10:24
Lücke in MSN-Webseite ermöglichte Ausspähen von Hotmail-Konten
Microsoft hat seine MSN-Webseite ilovemessenger.msn.com aufgrund einer Sicherheitslücke geschlossen, über die Angreifer Besuchern die Cookies auslesen konnten. Damit war es anschließend ohne Authentifizierung möglich, auf Hotmail-Konten zuzugreifen.
Ursache des Problems war eine Cross-Site-Scripting-Schwachstelle im MSN-Server, bei der der Browser des Opfers eingeschleusten Scripting-Code im Kontext der aufgerufenen Seite ausführte. Derartiger Code kann beispielsweise in präparierten URLs versteckt sein, den ein fehlerhafter, nicht filternder Server an den Client zurücksendet. Cross-Site-Scripting-Lücken sind ein weit verbreitetes Problem bei der Entwicklung von Web-Applikationen, bei der Benutzereingaben verarbeitet werden sollen. Ende Dezember fand der Sicherheitsspezialist Michael Krax innerhalb kürzester Zeit 175 verwundbare Server.
Microsoft versucht derzeit, den Fehler zu beheben. Die Seite, die Emoticons, Bildchen und Hintergünde für den MSN Messenger anbietet, will der Konzern alsbald wieder in Betrieb nehmen.
Dies ist das zweite Sicherheitsproblem einer MSN-Seite innerhalb einer Woche. Kürzlich fiel Microsofts koreanischer Webauftritt einem Angriff zum Opfer, in dessen Folge der Server manipuliert wurde, um Anwender mit Schadcode zu infizieren.
Siehe dazu auch:
(dab)
- Cross-Site-Scripting: Datenklau über Bande, Hintergrundartikel auf heise Security
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
