Das SIZ Informatikzentrum der Sparkassenorganisation hat nach eigener Aussage die XSS-Lücke behoben, die für das am gestrigen Montag gemeldete Sicherheitsproblem beim neuen Personalausweis (nPA oder ePerso) mit verantwortlich war. Matthias Stoffel, Leiter S-CERT, erklärte gegenüber heise security, die Experten hätten bei einer ersten Sichtung einen Fehler im zugrundeliegenden Content Management System gefunden und behoben. Der Hersteller des CMS sei über diese Lücke informiert worden.
Die Piratenpartei hatte die Entdeckung ihres Mitglieds Jan Schejbal gemeldet, dass auf einen Basisleser, der an einem fremden PC angeschlossen ist, über das Internet zugegriffen werden kann. Somit könnte ein Angreifer nicht nur durch einen Phishing-ähnlichen Trick in Besitz der Ausweis-PIN gelangen, sondern auch den Ausweis des Opfers missbräuchlich nutzen, solange dieser auf dem Lesegerät liegt.
Quelle: heise.de
Die vollständige News finden Sie >hier< !