256369

Sicherheitslücken: Monat der Myspace Bugs

04.04.2007 | 09:25 Uhr |

Der April soll der Monat der Myspace-Bugs werden, in dem täglich leicht ausnutzbare Sicherheitslücken in der Community-Site veröffentlicht werden sollen. Die Veranstalter nehmen sich allerdings selbst nicht so ernst.

Man kann schon beinahe von einer Modewelle sprechen, wenn alle paar Wochen ein "Monat der XYZ-Bugs" ausgerufen wird. Losgetreten hat diese Welle der Sicherheitsforscher H.D. Moore mit dem Monat der Browser-Bugs . Der neueste Eintrag in der Liste ist der Monat der Myspace-Bugs . Die zwei Veranstalter nennen sich "Mondo Armando" und "Müstaschio" ohne ihre wirklichen Namen zu verraten.

Nach eigenem Bekunden haben sie unter im Grunde beliebigen Zielen gerade Myspace ausgesucht, weil hier eine sehr große Zahl an Nutzern von Sicherheitslücken betroffen ist. Auch der Umstand, dass die Myspace-Betreiber nicht auf Hinweise zu neuen Schwachstellen antworten, habe sie zu ihrer Wahl bewogen. Sie wollen sich vor allem auf bei Community-Sites notorische Probleme wie XSS-Angriffe (Cross Site Scripting) konzentrieren.

Die beiden wollen im April täglich mindestens eine solche Schwachstelle publizieren, sehen ihre Mission jedoch offenbar nicht so bierernst wie ihre Vorgänger. So bewerten sie jede veröffentlichte Sicherheitslücke mit je einem oder mehreren "Noobs", "LOLs" und "0wnz". Damit wollen sie Hinweise auf den technischen Anspruch, den Spaßfaktor und die Gefährlichkeit einer Schwachstelle geben. Bislang haben sie zwei solcher Fehler vorgelegt, die sie nicht selbst entdeckt haben.

Anders als der Monat der PHP-Bugs im März, dessen Enthüllungen normale Internet-Nutzer nur indirekt betroffen haben, sind einfach ausnutzbare Sicherheitslücken auf Websites wie Myspace nicht nur für deren Nutzer gefährlich, sie können von diesen auch ohne tief gehendes Fachwissen ausgenutzt werden. Wie die Betreiber von Myspace auf die täglich wachsende Liste veröffentlichter Sicherheitslücken reagieren werden, bleibt abzuwarten.

Mondo Armando und Müstaschio haben noch ein weiteres Ziel im Visier: ihr "Monat der Myspace-Bugs" soll möglichst das Ende dieser Modewelle darstellen. So verkünden sie auch unverhohlene Freude darüber, dass sich eine angekündigte "Woche der Vista-Bugs" als Hoax oder besser gesagt als Aprilscherz heraus gestellt hat.

0 Kommentare zu diesem Artikel
256369