-->
« Open BC/Xing plant am 7. Dez 2006 den Börsengang
Bekennerschreiben zum Wurm-Angriff auf StudiVZ »

Update von Heise über StudiVZ

…ich raub ja solchen Leuten wie dem David nicht gern ihre gruscheligen StudiVZ-Illusionen, aber ich weiß nich was es da nicht zu verstehen gibt. Und ich glaub auch dir, David, ist das nicht ganz bewusst was man z.B. auch mit deinem gehackten StudiVZ Account so ohne dein Wissen anstellen kann und erzähl mir jetzt nich schon wieder ich hätt nen Profilierungsproblem….meine Motivation sind eben genau solche Leute wie du, die alles schön runter reden und denen es egal ist was mit anderen Menschen passiert, die sich mit dem ganzen eben nicht so auskennen….und jetzt hör endlich auf mit der Lobhudelei aufs StudiVZ.
Folgend nochmal ein Update von Heise-Online zur näheren Beschreibung des letzten Problemen.

[Update]:

Eine weitere XSS-Lücke wurde noch in der Nacht geschlossen. Ein Leser von heise online hatte eine Methode entdeckt, Sessions zu übernehmen und so fremde Accounts zu kapern. Nachdem die Firma informiert worden war, nahmen die Verantwortlichen die Server in der Nacht ein zweites Mal vom Netz und korrigierten den Fehler umgehend.

Die XSS-Lücke trat diesmal beim Löschen von Lehrveranstaltungen auf. Über diesen Aufruf ließ sich Javascript-Code einschmuggeln, der dann vom Server nicht ausgefiltert, sondern wieder zurück an den Browser gesendet wurde. Wenn ein angemeldetes Studivz-Mitglied einen manipulierten Link anklickte, konnten auf diese Weise die Session-Daten an einen fremden Server übermittelt werden. Mit Hilfe dieser Daten konnte ein Angreifer ein Cookie generieren, das ihm den Zugriff auf einen fremden Account ermöglichte. Mit dieser Methode konnten nicht nur Daten ausgelesen sondern direkt verändert werden - der Angreifer hatte vollen Zugriff auf den fremden Account. Ähnliche Lücken traten früher bei Webmail-Diensten auf. (Torsten Kleinz) / (pmz/c’t)

Nachtrag:
Upsa da hab ich doch glatt den Quell-Link von Heise vergessen…sorry:
http://www.heise.de/newsticker/meldung/81639

Nachtrag zum Update :-)

Und auch der Don trifft es hier mal wieder auf den Punkt:

“Sollte ich mal wieder Studenten was über Krisen-PR erzählen, dann weiss ich, was ich ihnen zeigen werde, um es auch dem Letzten zu erklären. Das da oben ist der Moment, bei dem der Kiel über die Kanten des Eisberg scheuert, während auf den Vergnügungsdecks die Durchsage kommt, dass das Orchester gleich wieder spielen wird.”

Posted on Dienstag, November 28th, 2006 at 12:22.
Kategorie: Alltag, Internet, Studium | Artikel bookmarken: .
Neue Kommentare über RSS 2.0 feed abonnieren.
Kommentar hinterlassen, oder Trackback zum eigenen Blog setzten.

2 Kommentare to “Update von Heise über StudiVZ”

  1. atari :
    November 28th, 2006 at 12:39

    Die “David”-Links funktionieren nicht, ich hätte gerne etwas von der flauschigen Welt des David gelesen…

  2. dd :
    November 28th, 2006 at 13:13

    Links sollten nun gehen.

Hier kannst du uns deine Meinung sagen

!Kommentatoren mit Fake Email-Adressen haben gute Chancen gelöscht zu werden!