News 22.07.2011, 07:53 Uhr

Microsoft deckt Lücke in Facebook auf

Sicherheitsforscher von Microsoft haben Sicherheitslücken in Facebook und Google Picasa entdeckt. Sie haben ihre Befunde veröffentlicht, nachdem die Schwachstellen behoben wurden.
Bereits vor einiger Zeit hat Microsoft damit begonnen, auch nach Sicherheitslücken in Produkten anderer Hersteller zu fahnden. Werden Microsofts Forscher fündig, melden sie die Schwachstellen an das betreffende Unternehmen. Sind die Fehler beseitigt, gibt Microsoft nach einer gewissen Zeit, bislang meist mehrere Monate, eine Sicherheitsmitteilung heraus. Kürzlich haben sie Lücken in Facebook und Google Picasa aufgedeckt.
Das Facebook-Problem ist durch die Art und Weise entstanden, wie Facebook seine Benutzer vor so genannten Clickjacking-Angriffen schützt. Durch einen Fehler in der Implementierung konnte ein Angreifer die Einstellungen zur Privatsphäre umgehen und die volle Kontrolle über das Benutzerkonto eines Opfers erlangen. Der Fehler ist inzwischen behoben.
Der Fehler in Googles Bildverwaltungsprogramm Picasa 3.6, den Microsoft-Forscher entdeckt haben, ermöglicht sogar die Übernahme der Kontrolle über den Rechner eines Opfers. Dazu müsste ein Angreifer sein Opfer lediglich dazu bringen, ein speziell präpariertes Bild in dem für Fotos üblichen JPEG-Format herunter zu laden. Diese Datei würde, wenn in Picasa geöffnet, das Programm zum Absturz bringen und eingeschleuster Code würde ausgeführt.
Google Picasa ist mit einer automatischen Update-Funktion ausgestattet, die inzwischen bei den meisten Anwendern eine aktualisierte Version des Programms herunter geladen und installiert haben sollte. Picasa-Versionen ab 3.6 Build 105.67 (Juni 2010) weisen den Fehler nicht mehr auf. Dies schliesst die aktuelle Version Picasa 3.8 ein.
Microsofts erste Sicherheitsmeldungen für Fremdprodukte im April 2011 betrafen Browser-Schwachstellen in Opera, Safari und Chrome. Seitdem sind Sicherheitsmitteilungen zu Lücken in RealPlayer, Foxit Reader und Google SketchUp hinzu gekommen.



Kommentare
Es sind keine Kommentare vorhanden.