News

XSS-Wurm tobte durch Reddit

Ein Hacker hat auf Reddit, eine der größten News-Aggregator-Sites, eine Cross-Site-Scripting-Lücke ausgenutzt, durch die angemeldete Anwender beim Lesen eines Kommentars ungewollt Massen von Kommentaren zu Meldungen abschickten. Der Hacker mit dem Pseudonym Xssfinder machte sich zunutze, dass Reddit in Kommentaren enthaltenes JavaScript nicht unter allen Umständen ausfilterte – beispielsweise wenn man den Mauszeiger über dem Kommantartext schweben lässt. Zudem nutzte er einen Trick, durch die ein Kommentar an sämtliche Meldungen der angezeigten Seite gepostet wurde. Da die Kommentare wiederum JavaScript enthielten, verbreiteten sich die präparierten Kommentare einem Wurm gleich über Reddit.

Mittlerweile ist die Schwachstelle beseitigt. Die präparierten Kommentare sind gelöscht – daher ist bei vielen Einträgen zu einer Meldung nur noch der Eintrag „[deleted]“ zu sehen. Über Schaden auf Anwenderseite ist nichts bekannt. Auch der populäre Dienst Twitter hatte Anfang des Jahres immer wieder mit XSS-Problemen zu kämpfen. Schutz vor derartigen Angriffen bietet Anwendern des Firefox-Browsers das Plug-in NoScript. Anwender des Internet Explorer könnten beim Besuch von Reddit temporär JavaScript deaktivieren.

XSS-Wurm tobte durch Reddit

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach