18.01.2013 15:03
Schwerwiegende Sicherheitslücke bei Amazon
Der Onlinehändler Amazon hat eine schwerwiegende Sicherheitslücke auf seiner Webseite geschlossen, durch die man unter anderem auf fremde Benutzerprofile zugreifen konnte. Nachdem heise Security das Unternehmen auf das Problem aufmerksam gemacht hatte. reagierte Amazon umgehend und beseitigte die Lücke. Betroffen waren neben Amazon.de anscheinend auch die anderen Amazon-Niederlassungen weltweit.
Durch die Cross-Site-Scripting-Lücke konnte man auch auf Sitzungscookies zugreifen.
Durch Lücke konnte man eigenen JavaScript-Code auf dem Server des Onlinehändlers einschleusen, der dann im Browser anderer Kunden beim Aufruf der präparierten Seite ausgeführt wurde. Durch dieses sogenannte Cross-Site-Scripting (Persistent XSS) konnte man etwa Sitzungs-Cookies abgreifen, mit denen wir bei unserem Experimenten auf Klarnamen, Mailadressen und Einkaufskörbe zugreifen konnten. Ferner hätte man über die Lücke auch Zugangsdaten abgreifen (Phishing) oder Malware verbreiten können.
Das Ausnutzen der Lücke war trivial: Man musste im Kundenforum lediglich einen Beitrag mit einem speziell formatierten Titel anlegen, etwa nach dem Muster "><script>alert('XSS')<script>. Da Amazon den angegeben Beitragstitel nicht ausreichend überprüft hat, wurde der darin enthaltene JavaScript-Code in bestimmte Unterseiten des Forums eingebettet und dann bei deren Aufruf vom Browser ausgeführt.
Die Seiten mit dem eingeschleusten Code konnte man direkt verlinken, um diese Links etwa per Mail zu verbreiten. Sie waren aber auch direkt über das Forum erreichbar. Freilich hätte Amazon die präparierten Forenbeiträge mit den auffälligen Titel kurzerhand löschen können. Geschehen ist das jedoch nicht: Ein öffentlich einsehbarer Testbeitrag blieb mehrere Wochen unentdeckt.
Michael E. hatte die Lücke entdeckt und heise Security darüber informiert. Wir haben Amazon die Details zu der Lücke am gestrigen Donnerstag nachmittags übermittelt. Bereits am nächsten Morgen hat uns ein Sprecher des Konzerns telefonisch darüber informiert, dass die Lücke geschlossen wurde.
(rei)
Cross-Site-Scripting (XSS) ist eine der größten Plagen, mit denen Webmaster zu kämpfen haben. Der neue Standard "Content Security Policy" soll endlich Abhilfe schaffen. 
Wie schwer ist es, einen Hotelsafe zu knacken? heise Security hat es spontan ausprobiert – mit einem überraschenden Ergebnis. 
Was ist echt und was ist falsch? Echte Benachrichtigungen von Firmen sind kaum noch von Phishingmails zu unterscheiden. Trotzdem wird von uns erwartet, dass wir den Durchblick behalten. So funktioniert das nicht. 
Die Weboberfläche zur Verwaltung von ProLiant- und Integrity-Servern enthält eine kritische Sicherheitslücke. 
Eine Lücke, viele Updates: Adobe hat ein kritisches Sicherheitsloch gestopft und neue Flash- und Air-Versionen für sämtliche Plattformen veröffentlicht. 
Am Juni-Patchday hat Microsoft zahlreihe Lücken in Windows, Internet Explorer und Office geschlossen. Eine Rechteausweitungslücke, für die bereits ein Exploit im Netz kursiert, hat die Redmonder Softwareschmiede dabei jedoch offenbar ausgelassen. 
