Gespeichert unter: News | Schlagworte: Bilder, GIFAR, Java, JavaScript, Persönliche Daten, Sicherheitslücke
Eigentlich werden aktive Inhalte wie z.B. JavaScript, die man auf eine Webseite in sein Profil hochladen möchte, rausgefiltert, was allerdings nicht auf Bilder zutrifft. Billy Rios, Rob Carter und John Heasman haben ein GIF Bild mit einer Klassen Datei für Java (JAR) kombiniert (GIF + JAR = GIFAR), welches, wenn es aufgerufen wird, das eingebettete Applet im Kontext der aufgerufenen Seite ausführt, berichtet Heise. Hat sich ein Opfer z.B. in sein eigenes Profil eingeloggt und der Angreifer schafft es dann, dieses Opfer auf sein Profil zu locken, so kann er dessen Konto manipulieren oder Daten ausspionieren. Prinzipiell sollen sich alle Webseiten missbrauchen lassen, bei denen man Bilder uploaden kann. Nähere Details zu dem Angriff wollen die drei Sicherheitsexperten erst auf der Black Hat veröffentlichen. Auf den Portalen von studiVZ und XING werden allerdings bereits die Header von hochgeladenen Dateien auf deren Korrektheit überprüf, so die Betreiber.
No Comments Yet bis jetzt
Einen Kommentar schreiben
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
