[Warning] CSRF-Sicherheitslücken bei eBay
Robert Waldner
waldner at cert.at
Mon Sep 16 17:37:26 CEST 2013
16. September 2013
CERT.at ersucht um Beachtung der folgenden Meldung.
Beschreibung
Wie heute bekannt wurde, gibt es anscheinend ein massives
Sicherheitsproblem beim bekannten Internet-Auktions-Anbieter eBay.
Entdeckt hat diese Probleme der Security Researcher Paul Moore (siehe
http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/).
Auswirkungen
Durch Ausnützen dieser Lücken ist es einem Angreifer möglich, fremde
eBay-Accounts zu übernehmen und auch mit diesen auf Artikel zu
bieten.
Der Angreifer muss dazu lediglich einen Web-Browser, mit dem ein
Benutzer in seinem eBay-Account eingeloggt ist, dazu bringen, eine
vom Angreifer kontrollierte Webseite zu öffnen. Dies kann in manchen
Szenarien auch eine Webseite sein, die der Benutzer bereits vor dem
Einloggen in den eBay-Account geöffnet hatte (anderes
Tab/Browser-Fenster).
Betroffene Systeme/Benutzer
Alle Benutzer mit eBay-Accounts, die eBay mit Web-Browsern nützen.
Abhilfe
Wir empfehlen Kunden von eBay folgende Maßnahmen bis zur Behebung des
ursächlichen Problems:
* nach dem Benutzen von eBay aktiv ausloggen, nicht nur den
Browser/Tab schließen
* während einer Sitzung bei eBay keine anderen Webseiten offen zu
haben und auch keine anderen Webseiten zu öffnen
* regelmäßig die Daten im eBay-Account zu überprüfen, und das
Passwort zu ändern
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Blog-Eintrag des Security-Researchers Paul Moore (englisch)
http://ramblingrant.co.uk/2013/09/16/ebay-security-expose-2/
Artikel bei Softpedia (englisch)
http://news.softpedia.com/news/CSRF-Vulnerability-in-eBay-Allows-Hackers-to-Hijack-User-Accounts-Video-383316.shtml
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130916/d55dd5d8/attachment.sig>
More information about the Warning
mailing list