Thema
XSS
Facebook schließt Cross-Site-Scripting-Lücken
Nutzer "checken" in einen Ort "ein" und schon wird Cross-Site-Scripting (XSS) ausgeführt. Diese und andere XSS-Lücken hat Facebook jetzt geschlossen. Schlupflöcher lauerten außerdem noch im Chat und im Messenger für Windows.
Wordpress schließt Pingback-Hintertür
Über Pingback-Anfragen lassen sich URLs und Ports ausspähen sowie DNS-Server von Routern manipulieren. Mit einem Update schließt Wordpress mehrere Sicherheitslücken.
Schwerwiegende Sicherheitslücke bei Amazon
Durch ein ernsthaftes Sicherheitsproblem im Web-Auftritt des Online-Händlers konnte man Zugangs-Cookies abgreifen und damit auf fremde Kundenprofile zugreifen.
Yahoo: kein HTTPS, dafür eine Fülle an XSS-Lücken
Eine neue Cross-Site-Scripting-Lücke (XSS) bei Yahoo ist für sich genommen nichts Ungewöhnliches, doch fehlendes HTTPS und eine Fülle an XSS-Lücken lassen aufhorchen: Yahoo fällt in Sachen Sicherheit gegenüber der Konkurrenz zurück.
eBay schließt kritische Sicherheitslöcher
Das Online-Auktionshaus hat unter anderem eine Lücke geschlossen, durch die man lesend und schreibend auf eine seiner Datenbanken zugreifen konnte.
Sicherheitsupdate für Firefox und Thunderbird
Mozilla entfernt eine Cross-Site-Scripting-Lücke in Firefox und Thunderbird.
lost+found: Vom Versuch eine Ente wieder einzufangen
Heute mit: neuen Tools, Einsichten bei Sophos und einer peinlichen Ente.
Schwerwiegende Sicherheitslücke bei ClickandBuy
Ein Leser hat bei ClickandBuy eine Lücke entdeckt, die den Diebstahl von Zugangsdaten ermöglichte. Die Kontaktaufnahme mit dem Unternehmen erwies sich jedoch als schwierig.
Cross-Site-Scripting-Lücke in Typo3 geschlossen
Durch die Lücke kann ein Angreifer Code in die von Typo3 generierte Webseite einschleusen. Außerdem wurden diverse Bug beseitigt.
Heise-Leser entdeckt Sicherheitslücken auf 150 Webseiten
Ein Neunzehnjähriger fand mit überschaubarem Zeitaufwand Schwachstellen auf etlichen namhaften Webseiten. Durch die Lücken könnte ein Angreifer in vielen Fällen etwa Zugangsdaten abgreifen oder Malware verteilen.
Peinliche Sicherheitspanne bei Paypal
Der wohl größte und bekannteste Online-Bezahldienst hatte bis vor wenigen Tagen ein gravierendes Sicherheitsproblem auf seinen Web-Seiten. Nach einem diesbezüglichen Hinweis von heise Security stopfte Paypal die XSS-Lücke in der Suchfunktion.
Bochumer Forscher finden Löcher in der Cloud
Wissenschaftler der Ruhr-Universität Bochum haben Lücken in Amazons Web Services gefunden, mit denen ein Angreifer administrativen Zugriff auf einen Cloud-Account bekommen kann. Auch die freie Software Eucalyptus war löchrig.
JavaScript-Filter NoScript jetzt auch für Android
Nun können auch Smartphone-Surfer genau festlegen, welche Seiten JavaScript ausführen dürfen. Zudem warnt das Addon unter anderem vor Cross-Site-Scripting und Clickjacking.
Phishing durch Entwicklerfunktion bei American Express
Eine Lücke auf der Homepage von American Express lässt sich dazu ausnutzen, um Login-Daten von Kreditkartenkunden auszuspähen. Der Entdecker der Lücke scheiterte beim Versuche, das Unternehmen über die Schwachstelle zu informieren.
Adobe kündigt Notfall-Patch für Flash-Player an
Ein Update für den Flash Player soll mehrere kritische und eine XSS-Lücke schließen. Letztere wird bereits aktiv ausgenutzt.
iOS-Skype: Schwachstelle ermöglicht Adressbuchzugriff
Ein Sicherheitsforscher demonstriert das Auslesen des iOS-Adressbuchs nach Empfang einer manipulierten Textnachricht in der Skype-App für iPhone und iPod touch – der VoIP-Anbieter hat bereits ein Update in Aussicht gestellt.
phpMyAdmin beseitigt mehrere XSS-Lücken
Die Versionen phpMyAdmin 3.3.10.4 und 3.4.4 beheben mehrere Sicherheitslücken in den eingebauten Tracking-Funktionen.
Account-Diebstahl durch schwere Sicherheitslücke bei eBay
Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. eBay reagierte zunächst unbeholfen auf den Hinweis unseres Lesers.
Cookie-Klau durch Lücken im Android-Browser
Durch eine Lücke in Android bis einschließlich 2.3.4 und 3.1 können bösartige Apps beliebige Cookies stehlen, die im Webbrowser des Opfers hinterlegt sind.
Twitter fixt erneute XSS-Lücke
Die Flut der XSS-Lücken in viel genutzten Angeboten nimmt kein Ende. Am Wochenende hat Twitter erneut ein Cross-Site-Scripting-Problem beseitigt.
Skype-Update ermöglicht Account-Diebstahl
Das Update auf Skype 5.5 bringt die Anbindung an Facebook mit, die allerdings eine kritische Sicherheitslücke hat.
ICQ anfällig für Account-Diebstahl
Durch Cross-Site-Scripting-Lücken in ICQ und der dazugehörigen Webseite können Angreifer unter Umständen den Account übernehmen, Programme ausführen oder lokale Dateien auslesen.
Lücke ermöglicht Account-Diebstahl bei Skype
Durch speziell präparierte Profileinträge kann ein Angreifer unter anderem die aktuellen Zugangsdaten seiner Kommunikationspartner ausspionieren.
Adobe patcht Zero-Day-Lücke in Flash
Durch eine Cross-Site-Scripting-Lücke im Flash-Plugin können Angreifer die Kontrolle über personalisierte Webseiten des Opfers übernehmen. Betroffen sind alle Plattformen.
Tool hilft bei Schwachstellensuche in Webanwendungen
Das freie "Web Application Attack and Audit Framework" ist auf SQL-Injection und Cross-Site-Scripting-Schwachstellen sowie auf Local-File-Inclusion und Remote-File-Inclusion-Lücken spezialisiert.
Cross-Site-Scripting-Lücke in Tweetdeck
Der beliebte Twitter-Client führt bei Retweeten im Text enthaltenen JavaScript-Code aus.
Facebook mit 2-Faktor-Login und weiteren Sicherheitsverbesserungen
Nutzer des Social Networks können sich per SMS Freischaltcodes schicken lassen, die den Zugriff aufs Facebook-Konto von fremden Rechnern aus gestatten. Außerdem gibt es erweiterten Schutz gegen Facebook-Würmer und eine Zusammenarbeit mit Web of Trust.
Löcher in McAfees Webseite
Durch Fehler in den Seiten waren XSS-Angriffe möglich. Zudem ließen sich Server-Dateien ausspähen.
Google-Nutzer im Visier von Hackern
Google warnt vor Cross-Site-Scripting-Angriffen über eine Windows-Sicherheitslücke.
Android Market: XSS-Lücke ermöglichte unbefugte Installation von Apps
In Kombination mit der Ferninstallation ermöglichte die Lücke die Installation und den Start von Apps. Der Entdecker ärgert sich nun, dass er die Lücke schon an Google gemeldet hat, statt sie beim kommenden Pwn2Own-Wettbewerb einzusetzen.
heise online Themen