Webseiten wichtiger Sicherheitsexperten von XSS-Bugs durchlöchert

Auf den Internetauftritten drei bekannter Sicherheitsunternehmen sollen gefährliche XSS Lücken entdeckt worden sein. Einem aktuellen Bericht zufolge können solche Fehler den Diebstahl von User Cookies und Log-In-Daten ermöglichen. Außerdem wäre es möglich, Schadcode auf Besucherrechnern einzuschleusen. Dieser Bericht stammt von den Security-Wachhunden XSSed.

Sie wollen bei McAfee, Symantec und VeriSign 30 Cross Side Scripting (CSS) Schwachstellen entdeckt haben. Neuere Forschungen haben gezeigt, dass Angreifer zunehmend, wenn nicht sogar überwiegend, renommierten Seiten als Host für ihre Malware nutzen. Die Ergebnisse von XSSed zeigen, dass sogar bekannte Sicherheits-Firmen nicht von diesem Problem ausgenommen sind. Die Vorteile liegen klar auf der Hand. Es ist schwieriger die befallenen Seiten komplett schließen zu lassen. Außerdem bringen Anwender angesehenen Internetauftritten generell ein wesentlich größeres Vertrauen entgegen.

Im Januar stellte XSSed fest, dass 60 Webseiten mit der McAfee-ScanAlert-Zertifizierung „Hackersicher“ für XSS-Attacken anfällig waren. Laut Computerworld versuchten einige der Sicherheits-Unternehmen die Bedeutung der XSS-Schwachstellen angeblich herunterzuspielen. Wesentlich kritischer seien Lücken, die Angreifern direkten Zugang zu gespeicherten Kundendaten erlauben. In den letzten Monaten ist die Ausbeutung von XSS-Schwachstellen jedoch in Mode gekommen. Unter den bekannten Beispielen befinden sich Webseiten wie MySpace und PayPal. Vor kurzem berichtete ScanSafe, dass 68 Prozent aller Malware die im Mai geblockt wurde, auf renommierten aber gehackten Websites, gefunden wurde. Das sind viermal so viele wie im Jahr zuvor. (cat)