32998

Börsenspiel mit hohem Risiko

Ebenfalls offen liegt das Internet-Angebot der ZDF-Sendung Wiso. Parallel zu einem Börsenspiel bietet ZDF Online ein Diskussionsforum an. Wer teilnehmen möchte, muss sich mit einem Benutzernamen und einem Passwort anmelden.

Das Problem: Die Website läuft auf dem Microsoft Internet Information Server (IIS). Dieser hat eine Sicherheitslücke, die es Datenspionen erlaubt, den Quelltext von Scripts einzusehen.

Ein Eindringling hat es nicht schwer, die Scripts zu finden, in denen die Benutzernamen und Passwörter der Forumsteilnehmer im Klartext zu lesen sind.

Obwohl es für dieses Problem seit Monaten ein Bugfix von Microsoft gibt, hatte der ZDF-Webmaster die Sicherheitslücke bis Ende September nicht geschlossen.

Schaden droht wiederum, wenn Anwender hier dasselbe Passwort verwenden wie für ihr privates Mail-Postfach.

Ein Eindringling könnte sich aber auch zum Systemverwalter aufschwingen und das Forum übernehmen: etwa Anwender löschen oder im Namen des Forumbetreibers Mails verschicken. Denn: Die Login-Daten der Administratoren sind auch zu finden.

PC-WELT Marktplatz

32998