CSS-Sicherheitslücke bei ClickandBuy

Bei der Telekom-Tochter ClickandBuy hat nach einem Bericht von Heise jemand eine schwere Sicherheitslücke entdeckt, die via Cross Site Scripting (CSS) die Ausführung von eingeschleustem Code und damit den Diebstahl von Zugangsdaten erlaubt.

Heise Security konnte durch diese Sicherheitslücke ein fremdes Cookie von einem eingeloggten Testnutzer stehlen und auf einen dritten Rechner übertragen. Schon Anfang Juli hat der Entdecker der Lücke ClickandBuy informiert, ohne dass etwas passierte.

Auch als Heise Kontakt mit ClickandBuy aufnehmen wollte, brauchte es mehrere Versuche über Kundendienst und Pressestelle und dauerte über eine Woche, bis die Herrschaften gnädigst den Hinweis auf das gravierende Problem annahmen und Besserung gelobten.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Programmierung, Sicherheit, Wirtschaft abgelegt und mit , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.