Sicherheitslücke: Ebay als Malwareschleuder missbrauchbar

Um die Sicherheitslücke ausnutzen zu können, ist nur ein Verkäuferkonto beim Auktionshaus erforderlich. Kriminelle könnten dann via Ebay Schadcode verteilen. Das hat der indischer Security-Spezialist Shubham Upadhyay jetzt herausgefunden.

von Peter Marwan 0


Der indische Sicherheitsforscher Shubham Upadhyay hat eine Cross-Site-Scripting-Lücke (XSS) auf Ebay entdeckt, wie die Site XSSed berichtet. XSS-Lücken können entstehen, wenn eine Site Eingaben ermöglicht – etwa in Form eines Feedback-Formulars.

Wer über ein Verkäuferkonto verfügt, könnte die Schwachstelle nutzen, um über Ebay Schadcode zu verteilen. Die Schwachstelle ist den Verantwortlichen bei Ebay bereits bekannt. Behoben wurde sie bislang jedoch noch nicht. Wer auf der sicheren Seite sein will, kann die Firefox-Erweiterung Noscript verwenden. Sie bemerkt den XSS-Angriff und blockiert ihn.

Ebay ist aufgrund seiner Bekanntheit ein beliebtes Ziel für Kriminelle, die es als Verteilstation nutzen: Kaum ein Anwender wundert sich, wenn er einen Link zu einem Auktionsangebot dort erhält; die meisten würden bedenkenlos darauf klicken. Immerhin beschäftigen sich aus diesem Grund auch besonders viele Sicherheitsforscher damit und melden eventuelle Schwachstellen Ebays Sicherheitsteam.

[mit Material von Florian Kalenda, ZDNet.de]

Peter Marwan
Autor: Peter Marwan
Chefredakteur
Peter Marwan Peter Marwan Peter Marwan
ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Letzter Kommentar




0 Antworten zu Sicherheitslücke: Ebay als Malwareschleuder missbrauchbar

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>