DVB-Cube <<< Das deutsche PC und DVB-Forum >>>

PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 23 Dezember, 2005, 16:07

Titel: Cross-Site-Scripting-Lücke im Volksbanking
Beitrag von: SiLæncer am 23 Dezember, 2005, 16:07

Das Online-Banking-Portal der Volksbanken ist anfällig für eine Cross-Site-Scripting-Lücke (XSS), die Phisher missbrauchen können, um echt wirkende Gauner-Webseiten zu erstellen. Durch die XSS-Lücke ist es etwa möglich, die URL einer gefälschten Seiten so erscheinen zu lassen, als stamme sie aus dem Volksbank-Banking-Portal.

In unseren Tests ist jedoch etwa im Firefox die https-URL in der Adresszeile nicht gelb unterlegt; wer nicht genau hinsieht, erkennt das durchgestrichene Schloss nicht als solches. In einem Blog-Eintrag stellt der Entdecker der Schwachstelle, Constantin Hofstetter, gleich vier funktionierende Links zur Demonstration des Fehlers bereit.

Laut einem heise Security vorliegenden Schriftwechsel hat Hofstetter die VR-Networld schon vor zwei Monaten über die Lücke informiert. Allerdings wurden bisher noch keine Gegenmaßnahmen ergriffen, da die Beispiele jetzt noch funktionieren. Karin Stempfhuber, Sprecherin des Volksbank-IT-Dienstleisters Fiducia, bestätigte gegenüber heise Security das Problem. Ihr würden jedoch keine Informationen über eine Benachrichtigung vorliegen. Es ist bis jetzt noch unklar, wo die Meldung in dem Bermuda-Dreieck zwischen Autor, VR-Networld und Fiducia verschollen ist.

Online-Banking-Portale sollten generell nur aus Bookmarks heraus angesurft beziehungsweise die Adresse manuell in die Adresszeile des Browsers eingeben werden. Banken versenden grundsätzlich keine E-Mails, die Kunden zur Eingabe von TANs auffordern – solche E-Mails sollten umgehend gelöscht oder der Bank weitergeleitet werden, damit diese Maßnahmen ergreifen kann.

Siehe dazu auch:

    * Volksbank-UNSICHERbanking Blog-Eintrag mit Links von Constantin Hofstetter

Quelle und Links : http://www.heise.de/security/news/meldung/67698

Titel: Cross-Site-Scripting-Lücke im Volksbanking [Update]
Beitrag von: SiLæncer am 23 Dezember, 2005, 19:38

Update:

Wenige Stunden nach der Benachrichtigung durch heise Security hat Fiducia das Problem nach eigenen Aussagen durch einen Patch beseitigt. Tatsächlich funktionierte daraufhin keine von Hofstetters XSS-Demos mehr.

Quelle : www.heise.de