computerwoche.de

Archiv

Kritisches Leck in Web 2.0 entdeckt

03.04.2007
Die als "Javascript-Hijacking" bezeichnete Sicherheitslücke soll Hackern den Zugriff auf sensible Daten ermöglichen und das Gros der für Web 2.0 verfügbaren Frameworks betreffen.

Viele interaktive Web-Applikationen nutzen Ajax (Asynchronous Javascript and XML) zum Datentransport in Web-2.0-Umgebungen. Nach den jüngsten Analysen der Security Research Group von Fortify Software weisen jedoch die dazu genutzten Frameworks und Applikationen mit Ajax-Komponenten eine dokumentierte Schwachstelle auf und sind damit der Gefahr des Javascript-Hijacking ausgesetzt. Dabei wird der "Script"-Befehl verwendet, um die "Same Origin Policy" der Web-Browser zu umgehen.

Um Anhaltspunkte über die Verbreitung der Sicherheitslücke zu erhalten, hat das auf Schwachstellenerkennung und -beseitigung spezialisierte Unternehmen eigenen Angaben zufolge die zwölf meistgenutzten Ajax-Frameworks analysiert. Das Resultat: Lediglich eines, das "Direct Web Remoting 2.0" (DWR), enthielt Mechanismen, die Javascript-Hijacking verhindern. Alle anderen Frameworks bieten den Analyseergebnissen zufolge keinen expliziten Schutz vor der neuen Angriffsgattung und weisen in ihrer Dokumentation auch nicht darauf hin. Dabei sind laut Fortify selbst Applikationen, die keines der betroffenen Frameworks nutzen, potenziell angreifbar, sobald sie Ajax-Komponenten enthalten, die Javascript zum Datentransfer oder der Bearbeitung sensibler Daten nutzen.

Nachdem laut McKinsey nahezu 75 Prozent aller Unternehmen verstärkt in Web-2.0-Techniken investieren wollen, befürchtet Brian Chess, Mitgründer und leitender Forscher bei Fortify Software, dass besagte Schwachstelle bald ein generelles Problem werden wird. "Im Gegensatz zu Software-Schwachstellen, die in einer einzelnen Applikation oder in einem Betriebssystem auftreten, gibt es in diesem Fall keinen Hersteller, den man benachrichtigen könnte - und der die Sicherheitslücke daraufhin schließt."

Um Anwendungsentwicklern die Möglichkeit zu geben, das Web-2.0-Leck schnellstmöglich zu stopfen, hat Fortify eine ausführliche Sicherheitsmeldung verfasst, die sowohl eine exakte Problembeschreibung, als auch detaillierte Angaben zur Behebung der Schwachstelle auf Quellcode-Ebene enthält.

Zwei Problemlösungen

Dabei empfiehlt Fortify einen zweigleisigen Ansatz, der zum einen dafür sorgt, dass Applikationen gefährliche Anfragen ablehnen und gleichzeitig verhindert, dass Angreifer von einer Anwendung generiertes Javascript direkt ausführen können. "Die Verantwortlichen für Web-2.0-Projekte sollten diese Angelegenheit ernst nehmen und möglichst schnell alles dafür tun, ihre Services sicher zu gestalten", mahnt der unabhängige Sicherheitsspezialist Jeremiah Grossmann, CTO von WhiteHat Security.(kf)