Die Lücke trägt die Bezeichnung ‘JavaScript Hijacking’ und erlaubt den Angaben zufolge einem Angreifer, Daten eines vertrauenswürdigen Users für eigene, missbräuchliche Zwecke zu emulieren.
Gelingt dem Hacker dies, kann er kritische Daten auslesen, die zwischen der Anwendung und dem Browser, der JavaScript als Transportmedium einsetzt, hin und her geschickt werden. Der Angreifer kann dann all das tun, was der ehrliche Nutzer auch kann, beispielsweise Dinge kaufen und verkaufen oder Aktien handeln. Oder aber er kann das Unternehmen schädigen, das Web 2.0-Technologien einsetzt. Unter anderem könnte der Hacker nämlich auch die Sicherheitsrichtlinien des Firmennetzes verändern oder sich Zugang zu Kundendatenbanken verschaffen und diese manipulieren.
Der JavaScript-Missbrauch hat sich während der Untersuchung als ein allgegenwärtiges Problem entpuppt. Fortify analysierte die zwölf häufigsten Ajax-Frameworks, darunter die von Google, Microsoft, Yahoo sowie der Open-Source-Gemeinde. Nur Direct Web Remoting (DWR) 2.0 kann die ‘JavaScript-Entführung’ verhindern. Alle anderen versagten. Gefahr besteht aber auch für solche Frameworks, die von Fortify nicht getestet wurden. Der Anbieter, der jetzt ein Security Advisory mit Hilfen zur Problembeseitigung herausgebracht hat, erklärte, alle Ajax-Komponenten, die JavaScript als Transportmittel nutzten, seien gefährdet.
Die Meldung ruft vor allem Unternehmen auf den Plan, die Web 2.0 in ihre Firmeninfrastruktur integrieren wollen. Denn Social Networking hat sich längst vom reinen Consumer- zu einem Enterprise-Interesse gemausert. Selbst große Hersteller wie IBM bieten inzwischen Lösungen für Web 2.0 im Unternehmen an.
„Aurora“ läuft beim Argonne National Laboratory des US-Energieministeriums und hat auf 87 Prozent des Systems…
Europäischer Supercomputer JEDI kommt auf den ersten Platz in der Green500-Liste der energieeffizientesten Supercomputer.
Data Awakening: Huawei präsentierte beim Innovative Data Infrastructure Forum 2024 in Berlin neue, auf KI…
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.