Warnung vor XSS-Attacken auf YouTube (Updates, gelöst)

Gepostet von Tobias am 04. Juli 2010 | Kommentar schreiben 7 Kommentare

YouTube

Ein Lücke sorgte heute auf YouTube dafür, dass die Kommentare mitunter geschlossen werden mussten und YouTube-Nutzer Angst hatten, YouTube zu besuchen. Mittlerweile wurde die Lücke aber behoben.

Auf YouTube galt heute für kurze Zeit das Motto: Ausschau halten nach dem Script. Denn seit ca. 14.00 Uhr wurde bekannt, dass man auf YouTube beliebige Scripte ausführen kann. Dies funktionierte mit einem einfachen Exploit, indem man zwei mal den HTML-Tag “script” schrieb, der eigentlich dafür gedacht war, JavaScript einzuleiten. Mit dem Exploit war es möglich, beliebigen HTML-Code in die Kommentare von YouTube einzuschleusen. Um etwa 16.30 Uhr wurde dann die Lücke geschlossen. 

(16:00) Das gefährliche an dem Schadcode: Er kann einfach per “< script >< script >” und dahinter ein HTML-Code ausgeführt werden. Damit lassen sich z. B. einfache HTML-Aufrufe, iFrames oder im schlimmsten Fall JavaScript-Code auf YouTube ausführen. Auch im Gulli-Forum wird gewarnt, denn ohne Probleme können Cookies und andere Daten ausgespäht werden.

Ein eher harmloses Beispiel hat uns der User ChrisZocker auf Twitter gesendet. Hier wurde eine einfache Laufschrift (< marquee >) als HTML eingefügt: 
HTML-Hack: Einfach zwei HTML-Tags und die Welt ist offen.

Update (16:32):
Scheinbar hat YouTube reagiert und den Script-Tag unterbunden. Warum es dazu kommen konnte, ist bisher unbekannt.

Update (17:00):
Wie es scheint, sind die Kommentare mit script in veränderter Form zurück. Scheint als würde YouTube “Script” ab sofort einfach aus dem Kommentar löschen, kann man hier gut sehen:
Wo vorher '< script >‘ stand, jetzt nur zwei Klammern.” width=”640″ height=”222″ /></a><br />Was vielleicht noch interessant ist: HTML-Tags (also alles mit < am Anfang und > am Ende) werden nicht mehr akzeptiert. Dann postet YouTube “Fehler, versuche es erneut”. Der sichere Modus für Kommentare ist weiter aktiv.</p> <p><strong>Update:</strong><br />Nun gibt es ein Statement seitens des Google-Sprechers Jay Nancarrow <a href=auf techie-buzz.com zu lesen:

Wir handelten schnell, als wir entdeckten, dass es seit Stunden eine Cross-Site-Scripting-Attacke (XSS) auf youtube.com gab. Kommentare wurden vorübergehend für eine Stunde lang vorborgen und wir veröffentlichten dann einen Fix innerhalb von zwei Stunden.Wir werden jetzt die Schwachstelle genau untersuchen, damit so etwas nicht noch einmal vorkommt.

» Thread im Google Hilfe Forum 
» Reaktionen auf Twitter
» Über XSS, Wikipedia-Artikel

Tags Tags: , ,

7 Kommentare

  1. ItzOn33
    ItzOn33
    4. Juli 2010 18:53

    das ist ja schon fast grob fahrlässig. sowas ist doch bekannt, dass ein programmier sowas als erstes unterbinden muss…

    eine sehr große sicherheitslücke…

  2. Flyingmana
    Flyingmana
    4. Juli 2010 18:54

    Das sieht doch sehr danach aus, dass da jemand XSS per regex verhindern wollte. Das würde eventuell erklären, wieso das filtern ab dem zweiten

  3. kurtextrem
    kurtextrem
    4. Juli 2010 19:37

    Letzten bei twitter war sowas ähnliches, es gabe eine page
    twitter.com/0wn3d_5ys
    da ist immer seine matrix page aufgetaucht egal was man gemacht hat ^^

  4. mRTN
    mRTN
    4. Juli 2010 21:46

    jeder mensch macht mal fehler also regt euch nich wegen sowas auf

  5. w
    w
    5. Juli 2010 11:40

    ahaa, hat mich schon gewundert.
    Aber auf Twitter (noch) nichts dazu gefunden?!

  6. Tobi
    Tobi
    5. Juli 2010 11:51

    @78145:
    hab mal den Link aktualisiert

  7. JJ
    JJ
    6. Juli 2010 11:34

    Finde ich sehr schade und ehrlich gesagt auch unverständlich, dass mein Kommentar mit Verweis auf unseren Artikel, der übrigens auch hierhin verweist, nicht veröffentlicht wurde. Irgendwie kleinlich.


KWRL.net