+43 699 / 18199463
office@itexperst.at
Rückrufservice
News
6 Sep 14

PayPal repariert Filter-Schwachstelle in Anwendung

PayPal hat eine potenziell gefährliche Schwachstelle in seinem internen Portal beseitigt. Die Sicherheitslücke wurde vom Sicherheitsanalysten Benjamin Kunz Mejri vom Vulnerability Laboratory entdeckt. Dabei handelte es sich um eine Schwachstelle im Backend des offiziellen PayPal Ethernet-Portals. Vor der Behebung dieser Sicherheitslücke bot sich so ein Weg für Hacker, bösartige Skripte auf den PayPal-Systemen zu starten.

„Die Schwachstelle gestattet es Hackern, aus der Ferne die Überprüfungs- und Verschlüsselungsmechanismen von PayPal zu umgehen. Auf der Anwendungsseite des Dienstes können Angreifer dann bösartige Skript-Codes injizieren.“

Zuvor war somit eine Bandbreite von Möglichkeiten gegeben, PayPals System anzugreifen. Zum Beispiel hätten Hacker Daten der Administratoren- und Entwicklerkonten abschöpfen können. Auch die Ausführung von Codes direkt im Backend-Portal wäre möglich gewesen, so Mejri. Es wäre für Hacker sogar möglich gewesen, die Ansicht von internen persönlichen Profilen zu beeinflussen.

Allerdings gibt es keine Hinweise darauf, dass derartige Attacken stattfanden. PayPal spielt die Bedeutung der Sicherheitslücke herunter und beschreibt es als kleine, aber beständige XSS-Schwachstelle. Mejri sieht das anders. Im Schema des Common Vulnerability Scoring System erreicht dieser „Makel“ eine 8.9, im Bug Bounty Programm von PayPal ist eine Belohnung von 1.000 US-Dollar dafür vorgesehen.

In einem Statement bestätigt PayPal, das Schlupfloch geflickt zu haben, gibt aber nicht allzu viele Details bekannt.

„Wir können bestätigen, dass im Rahmen unseres Bug Bounty Programms Vulnerability Lab eine Schwachstelle im internen PayPal-Portal gefunden hat. Das Problem wurde behoben. PayPal nimmt die Sicherheit unserer Kundendaten, Geld- und Konteninformationen sehr ernst. Deshalb arbeiten wir eng mit Sicherheitsforschern im Bug Bounty Programm zusammen, um so auch die Sicherheit der Daten zu gewährleisten.“

Mejri gibt an, dass die Schwachstelle in Zusammenhang mit einem kürzlich entdeckten (größeren) Bug bei eBay zusammenhängt.

Artikel von theregister.co.uk, 14.07.2014: XSS marks the spot: PayPal portal peril plugged

Posted by: Christian Perst | Kategorie: Allgemein, Hintergrund

Schreiben Sie uns eine Nachricht

* Pflichtfeld

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen