Facebook von Cross-Site-Scripting-Lücke betroffen

Facebook, nach MySpace das größte Social-Networking-Portal im Internet, wies Berichten zufolge bis Ende vergangener Woche eine Cross-Site-Scripting-Lücke auf, die das Einschleusen und Ausführen von bösartigem JavaScript in den Browser der Besucher ermöglichte. Angreifer hätten darüber Besucher automatisch auf infizierte Webseiten umleiten oder Anmeldeinformationen stehlen können.
Die Lücke ist zwar mittlerweile behoben, eine Demonstration aber weiterhin im Archiv des "XSSed Project" zu finden. Schätzungsweise 70 Millionen Anwender hätten solch einer Attacke prinzipiell zum Opfer fallen können. Ob die Lücke jemals aktiv ausgenutzt wurde, ist nicht bekannt. Damit reiht sich Facebook in die Reihe betroffener populärer Portale wie MySpace, Orkut und andere ein.
Zuletzt schleusten Kriminelle JavaScript-Code in die Seiten der ARD ein, der auf Seiten führte, die Lücken in Browsern ausnutzten, um Systeme zu infizieren. Die Angreifer machen sich seit geraumer Zeit die Populärität von Seiten zunutze, um ihren Schadcode an Anwender zu verteilen. Wie genau das passiert und welche weiteren Gefahren drohen, zeigt der c't-Artikel "Dunkle Flecken – Neuartige Angriffe überrumpeln Webanwender" in Ausgabe 11/08. Der Artikel "Mehr Licht" in der gleichen Ausgabe zeigt, wie man sich davor schützen kann.
(Quelle:Heise.de)