Schwachstelle bei Suchanbieter Lycos beseitigt

Nach WEB.de und GMX folgt nun auch der Suchanbieter Lycos (www.lycos.com) und beseitigt eine Schwachstelle in der weltbekannten Suchmaschine. Wie bei den anderen Suchanbietern, hatte auch Lycos ein kritisches Problem mit ungefilterten Parametern, die das Einschleusen externer Dateien erlaubte. Ein Angriff auf recht unerfahrene User hätte absolut unbemerkt stattfinden können. Die Lücke wurde zwischenzeitlich beseitigt, jedoch fand man es scheinbar nicht besonders wichtig, Kontakt mit mir aufzunehmen oder sich gar zu bedanken. ...

Nachdem ich in den letzten Wochen bei so einigen Suchanbietern auf teils kritische Sicherheitslücken gestoßen bin, habe ich zur Sicherheit der User einmal eine direkte "Rundumschau" durchgeführt. Dabei wurde ich vor knapp einem Monat auch bei Lycos auf ungefilterte Parameter aufmerksam, die wohl oder übel ein wenig Ärger mit sich bringen konnten. Recht schnell und einfach konnte die Ausgabe der Seite manipuliert und ein indirekter Übergriff auf das "Opfersystem" - in dem Fall eine virtuelle Maschine - stattfinden. Dabei wurde eine präparierte Seite, durch einen verschleierten Link angesteuert. Das Ergebnis war ein Vollzugriff ohne besonderes Hindernis - eine Gefahr die gerade bei XSS-Schwachstellen meist ignoriert oder gar belächelt wird.

Die Betreiber wurden natürlich umgehend über die Problematik informiert. Leider - und das ist nicht selten so - gab es auch in diesem Fall keinerlei Rückmeldung von Lycos. Erst eine eigene Nachkontrolle brachte das Ergebnis, dass die festgestellte Schwachstelle ohne jegliche Antwort, schnell und unauffällig beseitigt wurde. Warum man sich weder für den Hinweis bedankt, noch jegliche Rückmeldung gibt, ist mir schon immer schleierhaft gewesen. Ob es noch weitere Schwachstellen bei Lycos gibt ist - zumindest hier - nicht bekannt. Sollte man in der Zukunft tatsächlich auf weitere Schwachstellen stoßen, kann der Köter allerdings keine Hilfe mehr von mir erwarten.