Durch eine schwere Sicherheitslücke bei eBay konnten Angreifer Cookies anderer Nutzer stehlen und somit die Kontrolle über fremde Accounts übernehmen. Auf einer Unterseite des Onlineauktionshauses wurde ein URL-Parameter nicht ausreichend überprüft und als Teil der Webseite wiedergegeben. Dadurch war Cross-Site-Scripting (XSS) möglich. Angreifer konnten eBay.de-Links generieren, bei deren Aufruf beliebiger JavaScript-Code im Kontext der eBay-Domain ausgeführt wurde.
Auf diese Weise war es möglich, das Cookie auszulesen und an einen fremden Server zu übermitteln. Entdeckt hat die Lücke der Leser Daniel Sparka. Als er die Lücke dem Unternehmen zuvor über deren Kontaktformular gemeldet hat, erhielt er von eBay lediglich eine Standardantwort mit dem Tipp, die temporären Dateien in seinem Browser zu löschen. Offensichtlich hat der Support-Mitarbeiter die gemeldete Lücke für ein Zugriffsproblem auf Kundenseite gehalten.
Quelle: heise.de
Die vollständige News finden Sie >hier< !