Antiviren-Seiten löchrig wie Emmentaler

Auf den Internetauftritten drei bekannter Sicherheitsunternehmen sollen gefährliche XSS-Lücken entdeckt worden sein. Einem aktuellen Bericht zufolge können solche Fehler den Diebstahl von Anwender-Cookies und Log-In-Daten ermöglichen. Ausserdem wäre es möglich, Schadcode auf Besucherrechnern einzuschleusen. Dieser Bericht stammt von den Security-Wachhunden XSSed.

Insgesamt wollen sie bei McAfee, Symantec und VeriSign 30 XSS-Schwachstellen entdeckt haben. Neuere Forschungen haben gezeigt, dass Angreifer zunehmend, wenn nicht sogar überwiegend, renommierte Seiten als Host für ihre Malware nutzen. Die Ergebnisse von XSSed zeigen, dass sogar bekannte Sicherheits-Firmen nicht von diesem Problem ausgenommen sind. Die Vorteile liegen klar auf der Hand. Es ist schwieriger die befallenen Seiten komplett schliessen zu lassen. Ausserdem bringen Anwender angesehenen Internetauftritten generell ein wesentlich grösseres Vertrauen entgegen.

Im Januar stellte XSSed fest, dass 60 Webseiten mit der McAfee-ScanAlert-Zertifizierung ,,Hackersicher" für XSS-Attacken anfällig waren. Einige der Sicherheits-Unternehmen haben derweil die Bedeutung der XSS-Schwachstellen heruntergespielt. Wesentlich kritischer seien Lücken, die Angreifern direkten Zugang zu gespeicherten Kundendaten erlauben. In den letzten Monaten ist die Ausbeutung von XSS-Schwachstellen jedoch in Mode gekommen. Unter den bekannten Beispielen befinden sich Webseiten wie MySpace und PayPal. Vor kurzem berichtete ScanSafe, dass 68 Prozent aller Malware die im Mai geblockt wurde, auf renommierten aber gehackten Websites, gefunden wurde. Das sind viermal so viele wie im Jahr zuvor.