Bei ZDNet gefunden: erste Untersuchungen von News-Readern durch Bill Auger von der Sicherheitsfirma SPI Dynamics zeigen erhebliche Lücken vieler Programme. JavaScript in einem eingelesenen Newsfeed wird in vielen Readern anscheinend ungeprüft ausgeführt.
Attackers could insert malicious JavaScript in content that is transferred to subscribers of data feeds that use the popular RSS or Atom formats.
The problem doesn't affect only blogs--any kind of information feed using any kind of format could potentially be used to transmit malicious content to a subscriber. People, for example, subscribe to mailing lists and news Web sites via RSS.
SPI Dynamics examined a number of online and offline applications used to read RSS and Atom feeds. In many cases, any JavaScript code delivered on the feed would run on the user's PC, meaning it could be vulnerable to attack.
Die Ursachen dieser Issues sind auch klar: die Programme verarbeiten unerwartete Daten (also z.B. JavaScript) nicht richtig, ein Problem, das ich immer wieder bei allen möglichen Programmen feststellen kann.
Many of the popular feed reading applications are faulted because the designers have failed to add valuable security checks, Auger said. In particular, the applications should not allow JavaScript that is included in feeds to run. Instead, it should be filtered out, he said.Der gleiche Design-Fehler, ungenügene Datenüberprüfung, ist Ursache für viele verschiedene Angriffsarten wie SQL Injection, Cross Site Scripting und einige der intelligenteren Phishing-Angriffe.
Bei den gefundenen Lücken in Feed-Readern sind natürlich insbesondere Browser-Plugins gefährdet, da hier über eingeschmuggeltes JavaScript auch der Browser angegriffen werden kann. Noch schlimmer: einige Reader nutzen die Funktionen des Internet Explorers, und umgehen dabei die Browser-internen Abschottungen:
Additionally, some reader software on Windows systems uses Internet Explorer to display feed content, but doesn't use basic security settings that isolate the content. Instead, the JavaScript is downloaded to the PC and has full access, which can fully expose a person's PC.SPI Dynamics hat einige Möglichkeiten aufgeführt, wie Angreifer diese Lücken ausnutzen können:
Ein weiteres Angriffsszenario kombiniert diese Lücken mit einem Problem, das gerade auf meinem Schreibtisch auf eine Lösung wartet: Injection-Lücken in den Server-Funktionen, die Feeds erzeugen. Wenn solche Feed-Provider-Funktionen XML-Injection-Lücken haben, können Angreifer diese Funktionen mit zusätzlichem XML aufrufen, dieses zusätzliche XML wird als Teil des Feeds wieder ausgegeben. So können selbst Feeds von vertrauenswürdigen Stellen plötzlich gefährliche Inhalte liefern.Attackers could exploit the problem by setting up a malicious blog and enticing a user to subscribe to the RSS feed. More likely, however, they would add malicious JavaScript to the comments on a trusted blog, Auger said. "A lot of blogs will take user comments and stick them into their own RSS feeds," he said.
Also, attackers could send malicious code to mailing lists that offer RSS or Atom feeds and commandeer vulnerable systems that way, Auger said. Feeds are popular because they let people consolidate information streams from multiple sites, such as blogs, in one application, called a feed reader, removing the need to surf to multiple sites.
Gerade Feed-Aggregatoren (so wie z.B. A9) können da als Angriffspunkt dienen: der Nutzer muss gar nicht mehr auf einen Link klicken, den er per Mail erhält. Er aggregiert (scheinbar) vertrauenswürdige Feeds, die sogar von der richtigen Stelle kommen. Das diese Feeds bei der Registrierung bei A9 eine gefährliche Payload erhalten haben, kann man nicht feststellen. Und wer kann den schon überprüfen, wer einen Feed bei einem solchen Aggregator anmeldet ?
Keine Kommentare:
Kommentar veröffentlichen