ELEXPRESS.de |

Die VZ-Netzwerk Betreiber haben vor kurzem eine neue Funktion eingeführt, welche zum Videolink ein passendes Vorschaubild anzeigt. Das Vorschaubild wird über eine JSON API vom Dienst oohembed.com abgefragt. Genau bei diesem Vorgang scheint eine XSS Sicherheitslücke zu existieren, welche es einem Angreifer ermöglicht HTML oder Java Script Code einzuschleusen.

Wie es bei XSS Sicherheitslücken üblich ist, könnten nun vertrauliche Cookieinformationen zum Server des Angreifers übertragen werden oder eine automatische Weiterleitung zu einer mit Schadcode verseuchte Webseite ausgenutzt werden, um den Rechner zu infizieren.

Aktuell ist der Dienst oohembed.com oft überlastet, sodass die Sicherheitslücke glücklicherweise nicht ausgenutzt werden kann, jedoch von meiner Seite aus daher auch nicht bestätigt werden kann. Es bleibt also abzuwarten, wass die VZ Netzwerkbetreiber zu diesem Vorfall bekannt geben. Gulli liegt laut eigenem Bericht jedoch ein Proof of Concept vor, sodass die Existenz der Sicherheitslücke und die damit verbundenen Gefahren in soweit sehr glaubwürdig sind.

Update:

Die VZ-Netzwerk Betreiber haben die Sicherheitslücke bestätigt und das Feature vorübergehend deaktiviert. In Kürze soll das Feature wieder aktiviert werden und die Sicherheitslücke behoben sein.