[Warning] CSRF-Sicherheitslücken bei eBay

Robert Waldner waldner at cert.at
Mon Sep 16 17:37:26 CEST 2013 

16. September 2013

   CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

   Wie heute bekannt wurde, gibt es anscheinend ein massives
   Sicherheitsproblem beim bekannten Internet-Auktions-Anbieter eBay.
   Entdeckt hat diese Probleme der Security Researcher Paul Moore (siehe
   http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/).

Auswirkungen

   Durch Ausnützen dieser Lücken ist es einem Angreifer möglich, fremde
   eBay-Accounts zu übernehmen und auch mit diesen auf Artikel zu
   bieten.
   Der Angreifer muss dazu lediglich einen Web-Browser, mit dem ein
   Benutzer in seinem eBay-Account eingeloggt ist, dazu bringen, eine
   vom Angreifer kontrollierte Webseite zu öffnen. Dies kann in manchen
   Szenarien auch eine Webseite sein, die der Benutzer bereits vor dem
   Einloggen in den eBay-Account geöffnet hatte (anderes
   Tab/Browser-Fenster).

Betroffene Systeme/Benutzer

   Alle Benutzer mit eBay-Accounts, die eBay mit Web-Browsern nützen.

Abhilfe

   Wir empfehlen Kunden von eBay folgende Maßnahmen bis zur Behebung des
   ursächlichen Problems:
     * nach dem Benutzen von eBay aktiv ausloggen, nicht nur den
       Browser/Tab schließen
     * während einer Sitzung bei eBay keine anderen Webseiten offen zu
       haben und auch keine anderen Webseiten zu öffnen
     * regelmäßig die Daten im eBay-Account zu überprüfen, und das
       Passwort zu ändern

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Blog-Eintrag des Security-Researchers Paul Moore (englisch)
   http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/
   Artikel bei Softpedia (englisch)

http://news.softpedia.com/news/CSRF-Vulnerability-in-eBay-Allows-Hackers-to-Hijack-User-Accounts-Video-383316.shtml

-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130916/d55dd5d8/attachment.sig>

More information about the Warning mailing list