Die offizielle Website der Bundesregierung weist eine Schwachstelle auf, über die sich mit Hilfe manipulierter Links beliebige Inhalte ins Seitenlayout einbetten lassen. Der Entdecker dieser so genannten Cross-Site-Scripting-Schwachstelle (XSS), Marcell Dietl, hat in seinem Blog Beispiel-Links gepostet, die nach einem Klick durch den Anwender die Regierungsseite beispielsweise mit einem Bild des Schauspielers Sylvester Stallone öffnet.
Aufgrund der XSS-Lücke erscheinen beliebige Inhalte im Layout von Bundesregierung.de, wenn man auf einen präparierten Link klickt.
Der Programmierfehler liegt offenbar in einem Skript der Funktion "Seite empfehlen", das Daten aus der URL in den Webseiten-Code ungefiltert in den Quellcode der erzeugten Webseite übernimmt. Die Empfehlungsfunktion bietet Webseitenbesuchern die Möglichkeit, Bekannte per E-Mail auf Inhalte der Bundesregierungs-Website hinzuweisen. Im jetzigen Zustand bietet sie allerdings auch Angreifern einen Weg, ahnungslose Opfer im Namen der Bundesregierung beispielsweise nach persönlichen Daten auszufragen, mit Phantasie-Pressemeldungen zu verwirren oder mit beliebigem Javascript-Code zu schaden.
Die Schwachstelle weckt Erinnerungen an den vermeintlichen Rücktritt von Bundeskanzlerin Angela Merkel vor etwa einem Jahr. Im September vergangenen Jahres war es eine ungenügend filternde Suchfunktion, die beliebigen Angreifer-Code in die Website der Bundesregierung einbettete.
Quelle :
www.heise.de
