Cross Site Scripting

/Tag:Cross Site Scripting

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen. Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt. Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als "kritisch" und eine als "hoch". Weitere elf Lücken ordnen sie als "niedrig" bis "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als "sehr hoch" ein. Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun [...]

By | 2017-11-17T09:24:08+00:00 November 16th, 2017|Browser, Webwerkzeuge|Kommentare deaktiviert für Browser-Updates für Firefox, Firefox ESR und Tor

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt. Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen. Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden. Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

By | 2017-07-06T23:06:48+00:00 Juli 6th, 2017|Allgemein, PHP|Kommentare deaktiviert für Sicherheitsupdate 3.7.3 für CMS Joomla

Online-Shops mit xt:Commerce sind akut gefährdet

Zehntausende von Online-Shops haben ein Problem: Die Shopsoftware xt:Commerce 3 und deren Forks wie Gambio und Modified haben zwei Schwachstellen, die es zusammen Angreifern gestatten, Shops komplett zu übernehmen. Nach ersten groben Schätzungen wird die Software in ungefähr 50.000 Shops genutzt. Es gibt allerdings schon Workarounds und Patches, um sich dagegen zu schützen. Entdeckt wurde die Lücke von Gambio-Entwicklern, die das Problem selbst als kritisch einstuften und alle ihre registrierten Shopbetreiber schon informierten. Die Lücken wurden bei internen Tests entdeckt. Deshalb nehmen die Entwickler an, dass sie aktuell noch nicht aktiv ausgenutzt werden. Das könnte sich aber nach dem Bekanntwerden jetzt sehr schnell ändern. Es handelt sich bei den Sicherheitslücken um ein persistentes XSS (Cross Site Scripting)- und ein CSRF (Cross Site Request Forgery)-Problem. Richtig ausgenutzt, können Angreifer damit den Admin-Zugang des Shops übernehmen. Betroffen sind davon xt:Commerce bis Version 3.04 SP2.1, Gambio bis v2.0.13.3, Modified (alle Versionen) und [...]

By | 2013-12-13T06:31:39+00:00 Dezember 13th, 2013|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Online-Shops mit xt:Commerce sind akut gefährdet

Einfacher Schutz vor Cross Site Scripting

Das Cross Site Scripting (XSS) gehört zu den häufigsten Angriffsmethoden auf Internetseiten. Dabei bezieht sich das Cross Site nicht unbedingt darauf, dass zwei Seiten beteiligt sind, sondern darauf, dass der Angriff zwischen mehreren Aufrufen einer Seite passiert. Grundsätzlich ist Cross Site Scripting eine spezielle Form von HTML-Injection, und es passiert meist in Formularen, in denen Benutzerdaten eingegeben und ungeprüft weiterverarbeitet werden. Da kann dann ein Angreifer leicht ausführbaren Programmcode ins System schmuggeln. Sie haben das vielleicht schon einmal im Gästebuch, Blog, Wiki oder Forum erlebt. Ein Angreifer gibt zum Beispiel dort einen Schadcode ein, der dann auf dem Client eines Benutzers, der sich das Gästebuch anschaut, ausgeführt wird. Der Schadcode ist meist in Javascript geschrieben. Deshalb sollte man beim Erstellen einer solchen Seite alles tun, um das injizieren von ausführbarem Code zu verhindern. Dazu bieten sich mehrere einfache Möglichkeiten an, die die Sicherheit merkbar erhöhen. Zunächst sollte man alle [...]

By | 2010-05-20T13:23:44+00:00 Juni 24th, 2010|Allgemein|Kommentare deaktiviert für Einfacher Schutz vor Cross Site Scripting