18.01.2013 15:03
Schwerwiegende Sicherheitslücke bei Amazon
Der Onlinehändler Amazon hat eine schwerwiegende Sicherheitslücke auf seiner Webseite geschlossen, durch die man unter anderem auf fremde Benutzerprofile zugreifen konnte. Nachdem heise Security das Unternehmen auf das Problem aufmerksam gemacht hatte. reagierte Amazon umgehend und beseitigte die Lücke. Betroffen waren neben Amazon.de anscheinend auch die anderen Amazon-Niederlassungen weltweit.
Durch die Cross-Site-Scripting-Lücke konnte man auch auf Sitzungscookies zugreifen.
Durch Lücke konnte man eigenen JavaScript-Code auf dem Server des Onlinehändlers einschleusen, der dann im Browser anderer Kunden beim Aufruf der präparierten Seite ausgeführt wurde. Durch dieses sogenannte Cross-Site-Scripting (Persistent XSS) konnte man etwa Sitzungs-Cookies abgreifen, mit denen wir bei unserem Experimenten auf Klarnamen, Mailadressen und Einkaufskörbe zugreifen konnten. Ferner hätte man über die Lücke auch Zugangsdaten abgreifen (Phishing) oder Malware verbreiten können.
Das Ausnutzen der Lücke war trivial: Man musste im Kundenforum lediglich einen Beitrag mit einem speziell formatierten Titel anlegen, etwa nach dem Muster "><script>alert('XSS')<script>. Da Amazon den angegeben Beitragstitel nicht ausreichend überprüft hat, wurde der darin enthaltene JavaScript-Code in bestimmte Unterseiten des Forums eingebettet und dann bei deren Aufruf vom Browser ausgeführt.
Die Seiten mit dem eingeschleusten Code konnte man direkt verlinken, um diese Links etwa per Mail zu verbreiten. Sie waren aber auch direkt über das Forum erreichbar. Freilich hätte Amazon die präparierten Forenbeiträge mit den auffälligen Titel kurzerhand löschen können. Geschehen ist das jedoch nicht: Ein öffentlich einsehbarer Testbeitrag blieb mehrere Wochen unentdeckt.
Michael E. hatte die Lücke entdeckt und heise Security darüber informiert. Wir haben Amazon die Details zu der Lücke am gestrigen Donnerstag nachmittags übermittelt. Bereits am nächsten Morgen hat uns ein Sprecher des Konzerns telefonisch darüber informiert, dass die Lücke geschlossen wurde.
(rei)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
