14.12.2007 19:07
XSS-Schwachstelle auf Bundesregierung.de
Aufgrund der XSS-Lücke erscheinen beliebige Inhalte im Layout von Bundesregierung.de, wenn man auf einen präparierten Link klickt.
Die offizielle Website der Bundesregierung weist eine Schwachstelle auf, über die sich mit Hilfe manipulierter Links beliebige Inhalte ins Seitenlayout einbetten lassen. Der Entdecker dieser so genannten Cross-Site-Scripting-Schwachstelle (XSS), Marcell Dietl, hat in seinem Blog Beispiel-Links gepostet, die nach einem Klick durch den Anwender die Regierungsseite beispielsweise mit einem Bild des Schauspielers Sylvester Stallone öffnen.
Der Programmierfehler liegt offenbar in einem Skript der Funktion "Seite empfehlen", das Daten aus der URL ungefiltert in den Quellcode der erzeugten Webseite übernimmt. Die Empfehlungsfunktion bietet Webseitenbesuchern die Möglichkeit, Bekannte per E-Mail auf Inhalte der Bundesregierungs-Website hinzuweisen. Im jetzigen Zustand bietet sie allerdings auch Angreifern einen Weg, ahnungslose Opfer im Namen der Bundesregierung beispielsweise nach persönlichen Daten auszufragen, mit Phantasie-Pressemeldungen zu verwirren oder mit beliebigem JavaScript-Code zu schaden.
Die Schwachstelle weckt Erinnerungen an den vermeintlichen Rücktritt von Bundeskanzlerin Angela Merkel vor etwa einem Jahr. Im September vergangenen Jahres war es eine ungenügend filternde Suchfunktion, die beliebigen Angreifer-Code in die Website der Bundesregierung einbettete.
(cr)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
