September ist Monat der Facebook-Lücken

Den August hatte der bekannte Sicherheitsforscher Aviv Raff zum "Monat der Twitter Bugs" erklärt und täglich eine XSS-Lücke (Cross-site Scripting) in einer Anwendung veröffentlicht, die auf der Twitter-API basiert. Diesem Beispiel folgt nun der Hacker "theharmonyguy". Er hat den September zum "Monat der Facebook Bugs" erkoren und präsentiert täglich eine XSS-Lücke in Facebook Anwendungen.

Auf seiner Website hat der Hacker bereits zwei anfällige Applikation vorgestellt, die auf der Facebook-API basieren. Er hat Sicherheitslücken in den beiden beliebtesten Facebook-Anwendungen, FarmVille sowie Causes, entdeckt und veröffentlicht. Zum Prinzip des Monats der Facebook Bugs gehört es, dass die Programmierer oder Hersteller der Anwendungen 24 Stunden vor der Veröffentlichung über die Schwachstelle informiert werden. Es bleibt ihnen also wenig Zeit die Lücken zu beseitigen, bevor sie offen gelegt werden. FarmVille-Hersteller Zynga sowie der Programmierer von Causes haben schnell reagiert und die knappe Zeit genutzt, um die Schwachstellen zu beheben.

Wie theharmonyguy in seinem Blog zum Start der Aktion erklärt, hat er bereits XSS-Lücken in fünf beliebten Facebook-Anwendungen entdeckt. Er benötigt also noch ein wenig Material, um den September zu füllen. Daher ruft er dazu auf, ihm Hinweise auf weitere anfällige Anwendungen zu senden.