XSS-Lücke in Blau.de und Fyve.de?

Auf den Webseiten von Blau.de und fyve.de wurden bereits im Juli 2012 kritische Sicherheitslücken entdeckt. Blau.de reagierte längst mit einem Patch, während fyve.de noch immer darauf warten lässt. Bereits im Juli 2012 meldete ein Forumsteilnehmer beigulli.com gravierende Sicherheitslücken in den Suchfunktionen der Online-Präsenzen vonblau.de undfyve.de. Die Sicherheitslücken ermöglichen Cross-Site-Scripting-Angriffe (XSS), über die Schadcode eingeschleust werden kann. Ausserdem lassen sich die Cookies eines Besuchers auslesen. Auch die HTTPS-Version der Websites bietet dagegen keinen Schutz. XSS-Angriffe lohnen sich für Kriminelle vor allem bei stark frequentierten Websites, einfach weil hier die Menge der potentiellen Opfer wahrscheinlich hoch ist.

Gulli.com hat die Betreiber der anfälligen Websites sofort informiert. Blau.de hat den Fehler kurz darauf im Rahmen eines turnusmässigen Updates beseitigt. Die ProSiebenSat.1-Tochter fyve.de hingegen konnte nach Angaben eines Technikers die Lücke anscheinend bis vor kurzem nicht nachvollziehen. Seltsam nur, dass Mitarbeiter von gulli.com die Lücken über den PenetrationstesterUnnex sofort verifizieren konnten, und zwar in vollem Umfang für beide Websites. Inzwischen wurde ein direkter Informationsaustausch zwischen dem Hinweisegeber und fyve.de hergestellt, so dass auch dort die Sicherheitslücke möglichst bald geschlossen werden kann. (ph/com!)

Siehe auch: Deutsche Mobilfunknetze sollen nicht sicher sein, Kostenlose Java-Sicherheitsprüfung von G Data, Angebliche E-Mail von Google verbreitet Trojaner