Warnung vor XSS-Attacken auf YouTube (Updates, gelöst)

YouTube
Ein Lücke sorgte heute auf YouTube dafür, dass die Kommentare mitunter geschlossen werden mussten und YouTube-Nutzer Angst hatten, YouTube zu besuchen. Mittlerweile wurde die Lücke aber behoben.

Auf YouTube galt heute für kurze Zeit das Motto: Ausschau halten nach dem Script. Denn seit ca. 14.00 Uhr wurde bekannt, dass man auf YouTube beliebige Scripte ausführen kann. Dies funktionierte mit einem einfachen Exploit, indem man zwei mal den HTML-Tag „script“ schrieb, der eigentlich dafür gedacht war, JavaScript einzuleiten. Mit dem Exploit war es möglich, beliebigen HTML-Code in die Kommentare von YouTube einzuschleusen. Um etwa 16.30 Uhr wurde dann die Lücke geschlossen.

(16:00) Das gefährliche an dem Schadcode: Er kann einfach per „<script></script>“ und dahinter ein HTML-Code ausgeführt werden. Damit lassen sich z. B. einfache HTML-Aufrufe, iFrames oder im schlimmsten Fall JavaScript-Code auf YouTube ausführen. Auch im Gulli-Forum wird gewarnt, denn ohne Probleme können Cookies und andere Daten ausgespäht werden.

Ein eher harmloses Beispiel hat uns der User ChrisZocker auf Twitter gesendet. Hier wurde eine einfache Laufschrift (<marquee>) als HTML eingefügt:
HTML-Hack: Einfach zwei HTML-Tags und die Welt ist offen.

Update (16:32):
Scheinbar hat YouTube reagiert und den Script-Tag unterbunden. Warum es dazu kommen konnte, ist bisher unbekannt.

Update (17:00):
Wie es scheint, sind die Kommentare mit script in veränderter Form zurück. Scheint als würde YouTube „Script“ ab sofort einfach aus dem Kommentar löschen, kann man hier gut sehen:
Wo vorher '< script >' stand, jetzt nur zwei Klammern.
Was vielleicht noch interessant ist: HTML-Tags (also alles mit < am Anfang und > am Ende) werden nicht mehr akzeptiert. Dann postet YouTube „Fehler, versuche es erneut“. Der sichere Modus für Kommentare ist weiter aktiv.

Update:
Nun gibt es ein Statement seitens des Google-Sprechers Jay Nancarrow auf techie-buzz.com zu lesen:

Wir handelten schnell, als wir entdeckten, dass es seit Stunden eine Cross-Site-Scripting-Attacke (XSS) auf youtube.com gab. Kommentare wurden vorübergehend für eine Stunde lang vorborgen und wir veröffentlichten dann einen Fix innerhalb von zwei Stunden.Wir werden jetzt die Schwachstelle genau untersuchen, damit so etwas nicht noch einmal vorkommt.

» Thread im Google Hilfe Forum
» Reaktionen auf Twitter
» Über XSS, Wikipedia-Artikel

Teile diesen Artikel: