Menü

Facebook schließt Cross-Site-Scripting-Lücken

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge
Von

Facebook hat einige Cross-Site-Scripting-Lücken (XSS) geschlossen, die von der Sicherheitsfirma Break Security gefunden wurden und nun genauer beschrieben werden. Wie Firmenchef Nir Goldshlager darlegt, ließ sich das soziale Netzwerk unter anderem über den Chat, die Ortsdienst-Funktion "Check in" und den Messenger für Windows angreifen.

Mit eigenen (Fake-)Orten ließ sich Code einschleusen.

(Bild: BreakSec )

Im Chat konnten etwa Links geteilt werden, die Facebook nicht ausreichend überprüfte. So ließen sich JavaScript-Befehle als Links tarnen, die dann vom Chat automatisch eingebunden wurden. Klickten Nutzer auf diese speziell präparierten Nachrichten, wurde bei ihnen der eingeschleuste Code ausgeführt.

Der "Check-in"-Dienst ließ sich manipulieren, indem eigene Orte generiert wurden. In den dazugehörigen Einstellungen ließ sich ebenfalls ein JavaScript einschleusen. Checkten Nutzer in so einen Ort ein, wurde clientseitig XSS ausgeführt.

Der Seitenname darf auch ein JavaScript sein.

(Bild: BreakSec )

Durch das Erstellenen einer Seite bei Facebook, konnte auch der Messenger für Windows korrumpiert werden. Seiten dürfen Nachrichten an alle Nutzer schicken. Wurde ein JavaScript als Seitenname gewählt und verschickte die Seite nun Nachrichten an Nutzer, wurde bei diesen jedesmal das Skript ausgeführt, sobald sie sich in den Messenger einloggten. (kbe)