"Über Schwachstellen in StudiVZ und SchülerVz hätten Angreifer Anmeldedaten abgreifen oder Mails einsehen können. Die XSS-Lücke bei StudiVZ befand sich im Login-Formular. Durch die fehlende Filterung von Quotes (") war es möglich, in die Felder "E-Mail" und "Passwort" JavaScript hineinzuschreiben. Bei einer Demo des Entdeckers der Lücke, dem heise-online-Leser Sergej S., wurde das Script ausgeführt, sobald man die Maus über eines der Felder bewegte. Prinzipiell hätte etwa ein Phisher mit einem Skript die eingegebenen Login-Daten von Nutzern abgreifen können. Für einen erfolgreichen Angriff hätte ein Opfer aber auf einen präparierten Link klicken müssen, etwa in einer Mail oder einer Webseite."Mittlerweile wurde der Fehler allerdings behoben. Problematisch ist, das in letzter Zeit immer wieder falsche SchülerVZ-Seiten auftauchen, die behaupten durch das versenden von Links neue Funktionen in SchülerVZ zu aktivieren. Daher ist es Prinzipiel möglich, dass die Sicherheitslücke bereits genutzt wurde.
Wer mehr Funktionen für SchülerVZ ohne große Sicherheitbedenken will, kann unter Firefox den Change It Yourself-Script (aka Jautis) installieren, der viele neue Optionen bietet.
1 Kommentar:
Oh ich hätt da auch noch die eine oder andere Schwachstelle. Okay ist nur die Eine :-D
Ob das gewollt ist oder nicht - schlimm genug ist's allemal. Aber auf mich hört ja immer keiner ...
Was solls. Die Spammer freuen sich =)
Kommentar veröffentlichen