Fortify weist kritisches Leck in Web 2.0 nach

02.04.2007
Die als "Javascript-Hijacking" bezeichnete Sicherheitslücke soll Hackern den Zugriff auf sensible Daten ermöglichen und das Gros der für Web 2.0 verfügbaren Frameworks betreffen.

Nicht nur bei Endanwendern hat sich Web 2.0 - etwa in Form von Social-Networking-Portalen wie MySpace - mittlerweile etabliert. Auch Unternehmen haben den Wert interaktiver Web-Anwendungen erkannt und setzen häufig Frameworks ein, um den Zugriff auf Informationen zu beschleunigen, die Leistung von Applikationen zu verbessern und Team-Funktionen zu realisieren. Dabei nutzen zunehmend mehr interaktive Web-Applikationen Javascript zum Datentransport in Web-2.0-Umgebungen.

Nach den jüngsten Analysen der Security Research Group von Fortify Software weisen nun jedoch alle Frameworks und Applikationen mit Ajax-Komponenten, die Javascript zum Datentransfer oder zur Bearbeitung sensibler Daten nutzen, die dokumentierte Schwachstelle auf und sind damit der Gefahr des Javascript-Hijacking ausgesetzt. Dabei wird nach Angaben der Forscher der "<script>"-Befehl verwendet, um die "Same Origin Policy" der Web-Browser zu umgehen.

Brian Chess: "Diese Schwachstelle wird bald zum generellen Problem."
Brian Chess: "Diese Schwachstelle wird bald zum generellen Problem."
Foto: Brian Chess

Um Anhaltspunkte über die Verbreitung der Sicherheitslücke zu erhalten, hat das auf Schwachstellenerkennung und -beseitigung spezialisierte Unternehmen eigenen Angaben zufolge die zwölf meistgenutzten Ajax-Frameworks analysiert. Das Resultat: Lediglich eines, das "Direct Web Remoting 2.0" (DWR), enthielt Mechanismen, die Javascript-Hijacking verhindern. Alle anderen Frameworks bieten den Analyseergebnissen zufolge keinen expliziten Schutz vor der neuen Angriffsgattung und weisen in ihrer Dokumentation auch nicht darauf hin. Dabei sind laut Fortify selbst Applikationen, die keines der betroffenen Frameworks nutzen, potenziell angreifbar, sobald sie Ajax-Komponenten enthalten, die Javascript zum Datentransfer oder der Bearbeitung sensibler Daten nutzen.

Nachdem laut McKinsey nahezu 75 Prozent aller Unternehmen verstärkt in Web-2.0-Techniken investieren wollen, befürchtet Brian Chess, Mitgründer und leitender Forscher bei Fortify Software, dass besagte Schwachstelle bald ein generelles Problem werden wird. "Im Gegensatz zu Software-Schwachstellen, die in einer einzelnen Applikation oder in einem Betriebssystem auftreten, gibt es in diesem Fall keinen Hersteller, den man benachrichtigen könnte - und der die Sicherheitslücke daraufhin schließt."

Um Anwendungsentwicklern die Möglichkeit zu geben, das Web-2.0-Leck schnellstmöglich zu stopfen, hat Fortify eine ausführliche Sicherheitsmeldung verfasst, die sowohl eine exakte Problembeschreibung als auch detaillierte Angaben zur Behebung der Schwachstelle auf Quellcode-Ebene enthält.. Dabei empfiehlt Fortify einen zweigleisigen Ansatz, der zum einen dafür sorgt, dass Applikationen gefährliche Anfragen ablehnen und gleichzeitig verhindert, dass Angreifer von einer Anwendung generiertes Javascript direkt ausführen können.

"Die Verantwortlichen für Web-2.0-Projekte sollten diese Angelegenheit ernst nehmen und möglichst schnell alles dafür tun, ihre Services sicher zu gestalten", mahnt der unabhängige Sicherheitsspezialist Jeremiah Grossmann, CTO von WhiteHat Security. (kf)