Categories: Sicherheit

Ebay schließt kritische Cross-Site-Scripting-Lücke

Ebay hat mit gewohnter Verzögerung eine Cross-Site-Scripting-Lücke (XSS) geschlossen, die potentiell Millionen Nutzer Phishing-Kampagnen und Passwort-Diebstahl hätte aussetzen können. Obwohl sie schon zuvor vertraulich über die Schwachstelle unterrichtet wurde, setzte die Online-Auktionsplattform die Maßnahme zum Schutz ihrer Kunden erst um, als Medien von der Schwachstelle erfuhren.

Entdeckt, am 11. Dezember an Ebay gemeldet und später in einem Blogeintrag beschrieben wurde die Anfälligkeit von einem unabhängigen Sicherheitsforscher, der sich MLT nennt. Sie erlaubte einem Angreifer, über ein „Iframe“-Element eine eigene bösartige Seite innerhalb von Ebay einzuschleusen. Er konnte eine Log-in-Seite in Ebays URL-System injizieren, sodass sie zur echten Website von Ebay zu gehören schien. Ein Proof-of-Concept-Video zeigt, wie die Sicherheitslücke tatsächlich ausgenutzt werden konnte.

MLT sieht darin eine „ziemlich schlichte Anfälligkeit“ bei einer Website, für die XSS eigentlich ein großes Thema sein sollte. Nach seiner Meldung an Ebay habe er zwar eine anfängliche Antwort bekommen, aber nach rund einem Monat habe das Unternehmen noch immer keine Anstalten gemacht, die Lücke zu schließen. Bewegung in die Angelegenheit kam erst, als sich Motherboard an Ebay wandte und eine Veröffentlichung ankündigte.

HIGHLIGHT

Produktiver arbeiten mit Unified Communications & Collaboration

Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.

Die Verzögerung begründete ein Ebay-Sprecher gegenüber ZDNet.com mit einer „Fehlkommunikation“. Der Sicherheitsforscher habe sich tatsächlich am 11. Dezember an die Auktionsplattform gewandt, später aber mit einer anderen E-Mail-Adresse weitere Details übermittelt. MLT kündigte inzwischen die Veröffentlichung seiner Korrespondenz mit Ebay an – um zu demonstrieren, wie ein Unternehmen Sicherheitsprobleme bezüglich seiner Site nicht handhaben sollte.

Ebay ist nicht zum ersten Mal von einer XSS-Lücke betroffen und reagierte immer wieder verspätet darauf, wenn sich Medien einschalteten. Im April 2015 berichtete Threatpost von einer potentiell gefährlichen und bei Ebay seit über einem Jahr vorhandenen Cross-Site-Scripting-Lücke – und das Unternehmen mache noch immer nicht den Eindruck, das Problem schnell lösen zu wollen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago