XSS-Schwachstelle bei heise online beseitigt

Einige Wochen sind bereits vergangen, seit das meistbesuchte deutschsprachige IT-News Portal über XSS Schwachstellen informiert wurde. Ich wurde damals auf diverse, ungefilterte Parameter aufmerksam, die zum Einschleusen von Schadcode und zum Ausspähen der Besucher geeignet waren. Natürlich habe ich sofort reagiert und den Betreibern ausführliche Informationen übersandt. Die Schwachstellen wurden wahnsinnig schnell beseitigt, was man als Hinweisgeber allerdings recht selten erlebt. …

Die Sicherheitsproblematik bei heise online habe ich damals bei eigenen Recherchen zu diversen Themen, innerhalb des Portals von heise entdeckt. Diverse Parameter wurden vor ihrer Verarbeitung in der Webanwendung, nicht auf mögliche Manipulationen gefiltert, was einen Eingriff in die Ausgabe der Website ermöglichte. Natürlich habe ich – wie so oft – zunächst „Nyan Cat“ zur Aufklärung losgeschickt und noch ein wenig genauer nachgesehen, inwieweit sich die gefundene Problematik über das Portal erstreckt. Ähnlich wie bei anderen Fällen wäre es auch bei heise online möglich gewesen, Benutzerdaten abzufangen oder über Schwachstellen im Browser bzw. diversen Plugins/Erweiterungen (wie zum Beispiel dem Adobe Flash Player) die Kontrolle über den Computer des Besuchers zu erreichen. Hierzu hätte ein Angreifer lediglich präparierte Links zu einer manipulierten Seite verteilen müssen. Wie schnell und einfach dies für einen Angreifer geht, habe ich erst kürzlich anhand der Schwachstellen bei WEB.DE, GMX & Co. demonstriert. Gerade soziale Netzwerke wie Facebook eignen sich hervorragend für Angreifer, um XSS Schwachstellen mit höchstem Potential auszunutzen.

Die Betreiber wurden natürlich umgehend über das Problem informiert. Die Reaktion von heise online habe ich allerdings SO nicht erwartet. Im Normalfall dauert es – wie man ja recht häufig hier im Blog lesen kann – Tage, wenn nicht sogar Wochen oder Monate, bis Betreiber auf Sicherheitswarnungen reagieren. Bei heise online aber, hat es nur eine gute Stunde gedauert, bis man geantwortet hat. Die Schwachstelle wurde danach umgehend beseitigt. Ich war sehr überrascht, wie schnell und kompetent man reagiert hat. Man hat sich auch sehr nett bei mir bedankt, was man ebenfalls sehr selten erlebt. Wenn dies überall der Fall wäre, würde das Melden von Schwachstellen nicht nur die Sicherheit im Netz verbessern, sondern sogar noch Spaß bereiten.

Zwar ist die Angelegenheit nun bereits ein paar Wochen her, jedoch wollte ich mich noch einmal öffentlich bei heise online, für die sehr schnelle Reaktion bedanken. Da auch ich das Portal recht häufig nutze, ist mir die Sicherheit dort auch selbst sehr wichtig. Zudem möchte ich auch einmal präsentieren, dass es auch anders geht. Besonders große Unternehmen und Betreiber der Webseiten von Regierungen, reagieren oft sehr spät oder gar nicht auf Sicherheitswarnungen. Die EU Kommission zum Beispiel, legt die Messlatte hier ordentlich hoch, da seit vielen Monaten bekannte Sicherheitslücken bis Heute unbeseitigt bleiben. Hier hat heise online sehr gute Arbeit geleistet und dies möchte ich auch gerne öffentlich vorzeigen.