Ajax-Sites wie Gmail und MSN Virtual Earth in Gefahr

Eine Schwachstelle im Entwickler-Tool ‘Cpaint’ gefährdet populäre Sites wie den Photo-Sharing-Dienst ‘Flikr’, Googles Free-Mail-Service ‘Gmail’ oder den Mapping-Dienst ‘MSN Virtual Earth’. Diese Sites enthalten dynamische Ajax-Inhalte (Asynchronous JavaScript and XML), die mit Cpaint programmiert werden können. Ajax ist eine Technik, bei der Cascading Style Sheets (CSS), Document Object Model (DOM), HTML, JavaScript und XMLhttpRequest kombiniert werden.
 
Das Leck erlaube es Angreifern auf Servern, auf denen Cpaint läuft, Schadsoftware und Dateien zu lesen, heißt es in einem Advisory der Cpaint-Entwickler. Einbrecher könnten auch die Dateien lesen, die Passwörter enthielten. Von der Lücke seien alle Cpaint-Versionen betroffen. Gefährdet seien zudem Anwendungen, die mit Hilfe des Cpaint-Toolkits programmiert wurden.

Die Cpaint-Entwickler forderten dazu auf, die neueste Version des Toolkits einzuspielen. Auch in anderen Ajax-Tools könne die Schwachstelle auftauchen, warnten die Entwickler in einer E-Mail an die Security-Mailingliste Bugtraq. Sie forderten die Autoren von anderen Ajax-Toolkits auf, ihre Produkte umgehend zu überprüfen.