Hier gibt's die Zensurliste der Bundesprüfstelle für jugendgefährdende Medien – Abgeschottete “Festung Europa”: EU “übersieht” Folter
“Proton-Mail” hatte einen Kindergarten-XSS: sie führten Javascript im Webmail ungefiltert aus
Das berichtet Henning in der NZZ. Der “Fehler” (wohl eher das Unterlassen grundlegender Sicherheitsfunktionen) sei zwischenzeitlich behoben.
Klingt übel? Nun: Webmailer sind immer anfällig für solche Spielchen, gleich wie sie “geschützt” werden. Nein, nicht immer von jemandem, der da einfach eine Mail hinschickt. Aber von demjenigen, der da auf der Leitung sitzt im Zweifel. Denn Dank der X.509-Katastrophe darf man davon ausgehen, dass es im Zweifel immer gelingt, eine CA zu übernehmen, und so eine HTTPS-Verbindung zu kompromittieren. Und dann kann man sowieso beliebigen Code im ECMAScript ausführen. Das gilt übrigens für alle Webanwendungen im freien Internet.
publiziert Wed, 09 Jul 2014 07:44:50 +0200 #exploits