Die Lücke trägt die Bezeichnung ‘JavaScript Hijacking’ und erlaubt den Angaben zufolge einem Angreifer, Daten eines vertrauenswürdigen Users für eigene, missbräuchliche Zwecke zu emulieren.
Gelingt dem Hacker dies, kann er kritische Daten auslesen, die zwischen der Anwendung und dem Browser, der JavaScript als Transportmedium einsetzt, hin und her geschickt werden. Der Angreifer kann dann all das tun, was der ehrliche Nutzer auch kann, beispielsweise Dinge kaufen und verkaufen oder Aktien handeln. Oder aber er kann das Unternehmen schädigen, das Web 2.0-Technologien einsetzt. Unter anderem könnte der Hacker nämlich auch die Sicherheitsrichtlinien des Firmennetzes verändern oder sich Zugang zu Kundendatenbanken verschaffen und diese manipulieren.
Der JavaScript-Missbrauch hat sich während der Untersuchung als ein allgegenwärtiges Problem entpuppt. Fortify analysierte die zwölf häufigsten Ajax-Frameworks, darunter die von Google, Microsoft, Yahoo sowie der Open-Source-Gemeinde. Nur Direct Web Remoting (DWR) 2.0 kann die ‘JavaScript-Entführung’ verhindern. Alle anderen versagten. Gefahr besteht aber auch für solche Frameworks, die von Fortify nicht getestet wurden. Der Anbieter, der jetzt ein Security Advisory mit Hilfen zur Problembeseitigung herausgebracht hat, erklärte, alle Ajax-Komponenten, die JavaScript als Transportmittel nutzten, seien gefährdet.
Die Meldung ruft vor allem Unternehmen auf den Plan, die Web 2.0 in ihre Firmeninfrastruktur integrieren wollen. Denn Social Networking hat sich längst vom reinen Consumer- zu einem Enterprise-Interesse gemausert. Selbst große Hersteller wie IBM bieten inzwischen Lösungen für Web 2.0 im Unternehmen an.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.