Sicherheitslücken

19.05.2008 12:16

Trotz Zertifikat: Sicherheitslücke bei PayPal entdeckt

Sicherheitslücken Der im Web sehr beliebte Bezahldienst PayPal setzt seit geraumer Zeit auf so genannte Extended-Validation-SSL-Zertifikate, kurz EV-SSL. Diese erhöhen durch eine strenge Prüfung die Sicherheit der Kunden. Doch vor einer jetzt aufgetauchten Cross-Site-Scripting-Lücke schützen sie nicht.

Ein EV-SSL-Zertifikat sorgt dafür, dass moderne Browser wie der Internet Explorer 7 und Firefox 3 eine grün hinterlegte Adresszeile anzeigen. Die Besucher können dann davon ausgehen, dass es sich um die gewünschte Internetseite handelt und nicht um eine Fälschung. Der Finne Harry Sintonen fand jedoch eine Möglichkeit, eigene Inhalte auf der PayPal-Homepage zu platzieren. Der Browser zeigte weiterhin eine gründe Adressleiste an.


Sintonen demonstrierte laut einem Bericht von Netcraft die Lücke in einem IRC-Chat. Beim Besuch von PayPal.com öffnete sich ein Pop-up-Fenster. Angreifer könnten die gleiche Sicherheitslücke nutzen, um beispielsweise gefälschte Login-Dialoge zu erzeugen, die die eingegebenen Daten an einen anderen Server schicken.

PayPal veröffentlichte inzwischen eine Stellungnahme, in der es heißt, dass die Sicherheit der PayPal-Nutzer höchste Priorität hat. Als man von der Sicherheitslücke erfuhr, hat man sich sofort mit der Behebung beschäftigt. Inzwischen sollte das Problem also beseitigt sein. Laut den Verantwortlichen wurde die Lücke zu keinem Zeitpunkt für einen Phishing-Angriff missbraucht.

Michael Diestelberg

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o2] Antimon am 19.05.08 12:22 Uhr
 
Ach deswegen heut die 2 PayPal Phishingmails die im Spamfilter hängen geblieben sind, alles klar :D
 
[re:1] Naasir am 19.05.08 12:37 Uhr
 
@Antimon: Hehe jo irgendewelche Phishing-Angriffe habe ich nicht bemerkt, allerdings hat PayPal mir in der letzten Zeit mehrfach Mails mit Trojanern geschickt, die mein kaspersky allerdings direckt geshreddert hat ^^
 
[o3] candamir am 19.05.08 12:49 Uhr
 
In meinen Augen wäre die korrekte Vorgehensweise beim entdecken von Sicherheitslücken (Variationen möglich): Hacker entdeckt eine Sicherheitslücke > Meldung mit genauer Beschreibung an den Hersteller (der dafür extra eine Anlaufstelle hat), Bestätigung anfordern, Frist setzen > Hersteller bringt Patch raus oder Hersteller macht nichts, dann > Hacker veröffentlicht den Mailverkehr inkl. seiner Dokumentation der Sicherheitslücke (am Besten auf einer offenen, zentralen Plattform).
 
[re:1] DennisMoore am 19.05.08 14:14 Uhr
 
@candamir: Wieso maßt du dir an dem Hersteller von Software eine Frist zu setzen obwohl du den eventuell erforderlichen Aufwand nicht mal ansatzweise abschätzen kannst? Ansonsten find ich die Vorgehensweise gut.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Neueste Downloads

Mehr Downloads

Beliebt im Preisvergleich

Sicherheit & Backup Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Michael Diestelberg

Redakteur bei WinFuture

Ich empfehle ...
Michael Diestelberg

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.