cross-site Scripting via Facebook

by

Wer mal wieder das macht, was einem die “Frrrroinde” bei Facebook  vorschlagen, hat sich möglicherweise einen Wurm eingefangen. So zumindest die Süddeutsche: Nach dem tödlichen Angriff auf Al-Kaida-Führer Osama bin Laden kriecht ein Computerwurm durch Facebook, der mit der Neugier der Mitglieder in diesem Sozialen Netzwerk spekuliert. Ihnen wird ein Video von der Tötung des Terroristen in Aussicht gestellt, wenn sie einen Link kopieren und in ihrem Web-Browser eingeben.

Daraufhin wird die Mitteilung mit dem Link und einer Überschrift wie «Osama Bin Laden EXECUTION video» automatisch an alle Facebook-Kontakte des Nutzers geschickt. Der Wurm setzt auf eine Methode, de als «Cross-site Scripting» bezeichnet wird, abgekürzt XSS.

Die Angreifer nutzen Sicherheitslücken aus, die es ermöglichen, schädlichen Code aus einem nicht vertrauenswürdigen Bereich so einzuschleusen, dass er als vertrauenswürdig eingestuft wird. Bei Facebook kann dies etwa über das Eingabefeld auf der «Pinnwand» von Kontakten erfolgen.

Zu dem jüngsten Wurm gab es zunächst keine Hinweise auf gezielte Attacken. Der Javascript-Code der Schadsoftware wurde im Internet veröffentlicht, so dass er möglicherweise von anderen geändert wird.

Tags:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s


%d bloggers like this: