SECURITY - Cross-Site-Scripting-Lücke in Paypal-Seite
Die Online-Bank Paypal setzt auf sogenannte Extended-Validation-SSL-Zertifikate (EV-SSL), die eine strengere Prüfung verlangen und dadurch eine höhere Sicherheit der Webseite versprechen. Eine Cross-Site-Scripting-Lücke in Paypals Internetseite zeigt laut Medienberichten jedoch, dass auch EV-SSL nicht vor untergeschobenen Inhalten in einer Webseite schützt.
Die EV-SSL-Zertifikate sollen im Webbrowser wie dem Internet Explorer ab Version 7 und Firefox ab der kommenden Version 3 mit einer grün unterlegten Adressleiste anzeigen, dass sich der Besucher auf der echten Webseite befindet und nicht auf einer Phishing-Seite. Durch die Cross-Site-Scripting-Lücke könnten Angreifer jedoch etwa die Log-in-Daten an fremde Server schicken und möglicherweise auch Cookies stehlen, ohne dass der Anwender gewarnt würde; die Adressleiste bleibt den Berichten zufolge grün unterlegt.
Der finnische Sicherheitsforscher Harry Sintonen hat in einem IRC-Chat die Lücke demonstriert: Beim Besuch der Seite soll sich ein Pop-up-Fenster geöffnet haben. Zudem soll Sintonen britischen Medien eine weitere Demonstration vorgeführt haben, bei der ein eingeschleustes JavaScript einen Log-in-Prompt erzeugte und die Daten an einen nicht autorisierten Server geschickt hat. Bis vergangenen Freitag soll eBay die Lücke in der Webseite seines Tochterunternehmens noch nicht geschlossen haben.
Einer Paypal-Stellungnahme zufolge genieße die Sicherheit der Paypal-Nutzer höchste Priorität. "Als wir über die Schwachstelle informiert wurden, haben wir umgehend damit begonnen, sie zu schließen." In der Stellungnahme führt das Unternehmen demzufolge weiter aus, dass "unserem Kenntnissstand nach diese Lücke in keinem Phishing-Angriff missbraucht wurde." Noch vor rund vier Wochen hatten Paypal-Manager überlegt, Browser auszusperren, die EV-SSL nicht unterstützen. (Quelle:Heise.de)
Die EV-SSL-Zertifikate sollen im Webbrowser wie dem Internet Explorer ab Version 7 und Firefox ab der kommenden Version 3 mit einer grün unterlegten Adressleiste anzeigen, dass sich der Besucher auf der echten Webseite befindet und nicht auf einer Phishing-Seite. Durch die Cross-Site-Scripting-Lücke könnten Angreifer jedoch etwa die Log-in-Daten an fremde Server schicken und möglicherweise auch Cookies stehlen, ohne dass der Anwender gewarnt würde; die Adressleiste bleibt den Berichten zufolge grün unterlegt.
Der finnische Sicherheitsforscher Harry Sintonen hat in einem IRC-Chat die Lücke demonstriert: Beim Besuch der Seite soll sich ein Pop-up-Fenster geöffnet haben. Zudem soll Sintonen britischen Medien eine weitere Demonstration vorgeführt haben, bei der ein eingeschleustes JavaScript einen Log-in-Prompt erzeugte und die Daten an einen nicht autorisierten Server geschickt hat. Bis vergangenen Freitag soll eBay die Lücke in der Webseite seines Tochterunternehmens noch nicht geschlossen haben.
Einer Paypal-Stellungnahme zufolge genieße die Sicherheit der Paypal-Nutzer höchste Priorität. "Als wir über die Schwachstelle informiert wurden, haben wir umgehend damit begonnen, sie zu schließen." In der Stellungnahme führt das Unternehmen demzufolge weiter aus, dass "unserem Kenntnissstand nach diese Lücke in keinem Phishing-Angriff missbraucht wurde." Noch vor rund vier Wochen hatten Paypal-Manager überlegt, Browser auszusperren, die EV-SSL nicht unterstützen. (Quelle:Heise.de)
Eingestellt von megablaster Am/um
5/19/2008 10:40:00 AM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite