30.5.2008

Sicherheitsrisiko Javascript

default

30.5.2008: "Dabei nutzen die Angreifer diverse Möglichkeiten aus, um Links auf bösartiges JavaScript mittels SQL-Injection in Webauftritte einzuschleusen. Die Skripte öffnen versteckte iFrames mit Exploits, um die PCs von Besuchern durch Lücken im Webbrowser mit Schädlingen zu infizieren." http://www.heise.de/newsticker/Nun-auch-deutsche-Seiten-von-SQL-Massenhacks-betroffen--/meldung/108741

11.5.2008: "Mittels JavaScript versuchten Angreifer, eigene Inhalte auf die Webseiten der ARD einzuschleusen. In den Detailseiten konnten Links zu einer chinesischen Website hinterlegt werden, die sich wiederum Sicherheitslücken in den Browsern zunutze machte, um Trojaner auf den Computern zu hinterlassen." http://www.heise.de/newsticker/Verseuchte-Links-auf-ARD-Seiten--/meldung/107716

24.4.2008: Hunderttausende infizierter Webseiten laden mit Hilfe eines Javascript-Programms Trojaner auf den Rechner http://www.heise.de/newsticker/Hunderttausende-Webseiten-mit-schaedlichem-JavaScript-infiziert--/meldung/106959

15.3.2008: Eine neuartige Betrugsmöglichkeit, die es in Österreich bereits gibt und die in Deutschland wahrscheinlich auch bald eingeführt wird, heißt "IP-Billing". http://www.computerbetrug.de/dialer-und-mehrwertdienste/ip-payment-bezahlen-ueber-die-ip-adresse/ Auch hier wird vorbeugend dazu geraten, Aktive Inhalte wie ActiveX und Javascript nicht einzuschalten. Webseiten, die zum Einschalten von Javascript auffordern, sind mit einer gewissen - wenn auch nicht sehr hohen - Wahrscheinlichkeit betrügerisch.

23.3.2006: Eine neuentdeckte Schwachstelle im Internet-Explorer ermöglicht das Ausführen von beliebigem Code mit den Rechten des Users. Zur Infektion würde ein Besuch einer manipulierten Webseite reichen. "Als Workaround hilft derzeit wohl nur, JavaScript zu deaktivieren." http://www.heise.de/newsticker/meldung/71165 Update: Es gibt einen Exploit zum Ausnutzen der Schwachstelle http://www.heise.de/newsticker/meldung/71232

14.2.2006: Eine neue Variante einer älteren Schwachstelle im Internet-Explorer wurde entdeckt, es gibt aber noch keine Webseiten die sie ausnutzen. Wieder ist das Abschalten von Javascript "die einfachste Möglichkeit", den Fehler zu umgehen. (siehe auch javascript.html ) http://www.heise.de/newsticker/meldung/69558

2.12.2005: "Der Internet Explorer von Microsoft macht beim Import von kaskadierenden Stylesheets (CSS) einen kritischen Fehler. Wie aus dem Advisory des Entdeckers Matan Gillon hervor geht, lässt sich dieser ausnutzen, um unter Umständen vertrauliche Nutzerdaten, wie Kredikartennummern, Passwörter oder Zugangsdaten für Online-Dienste auszuspionieren. [...] Benutzer des Internet Explorer sollten besondere Vorsicht beim Besuch von nicht vertrauenswürdigen Seiten walten lassen und im Zweifelsfall JavaScript deaktivieren" http://www.heise.de/newsticker/meldung/66928

8.5.2005: "mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können. Ursache des Problems ist ein Fehler bei der Verarbeitung von Add-ons (Firefox Extensions) durch bestimme JavaScripte. [...] Abhilfe schafft das Abschalten von JavaScript." http://www.heise.de/newsticker/meldung/59374

14.4.2005: "Bereits beim Besuch einer Web-Seite -- ohne weitere Interaktion des Anwenders -- jubelt der Server dem Browser Schadcode unter, um die Hintertür zu installieren." - "Abhilfe schafft [...] das Abschalten von JavaScript und Popups." http://www.heise.de/newsticker/meldung/58544

 

Meine Standard-Email an Betreiber von Webseiten mit Javascript

Sehr geehrte Damen und Herren,

zum Besuch Ihrer Webseiten muß man Javascript einschalten, sonst funktionieren sie nicht. Das ist ein bißchen ärgerlich, denn eigentlich mag ich Ihre Webseiten ganz gern. Javascript hat für Besucher von Webseiten aber ein paar Nachteile, derer sich Ihr Webdesigner wahrscheinlich noch nicht bewußt ist. Der wichtigste ist: Javascript ist ein Sicherheitsrisiko allererster Kajüte.

Für bösartige Webseiten ist Javascript das Hilfsinstrument Nummer Eins, das das Ausnutzen von Sicherheitslücken in Windows manchmal überhaupt erst ermöglicht. (Ja, ich weiß, Ihre Seiten sind nicht bösartig, aber das ist keine Entschuldigung dafür, daß Sie die User zwingen, ihren Browser auf "unsicher" zu schalten.)

Die meisten Funktionen, für die Javascript benutzt wird, kann man nämlich auch auf andere Weise realisieren, nämlich durch CGI-Skripten. Die beiden Funktionen, für die Javascript überhaupt am allermeisten benutzt wird, sind "Cookies setzen" und "Popup-Fenster öffnen". Cookies kann man auch ohne Javascript setzen, man muß nur wissen, wie. Und Popup-Fenster sind wieder ein Sicherheitsrisiko: Sie sind bei Schadprogrammen eine äußerst beliebte Methode, um Anwendern vorzugaukeln, daß sie sich auf einer vertrauenswürdigen Seite befinden, wo sie ihren Usernamen und ihr Paßwort eingeben können. (Das Google-Wort lautet: "Phishing".)

Bitte informieren Sie sich über das Risiko, das Javascript allein schon dadurch mit sich bringt, daß man z.B. vergessen kann, es wieder auszuschalten. Informationen darüber finden Sie bei heise.de, mit Google (suchen Sie einfach nach "javascript" und "sicherheitslücke": 36.000 Treffer) oder auch z.B. auf meiner Homepage http://www.abatz.de/javascript.html .

Mit freundlichen Grüßen

Jörn Abatz

 

Die Sicherheitslücke namens "Javascript"

Javascript ist eine Programmiersprache. Sie ermöglicht, in Webseiten kleine Programme einzubauen, die dann auf dem Computer des Users innerhalb des Browsers ausgeführt werden. Die Programmbefehle selbst sind nicht gefährlich, aber Javascript erleichtert das Ausnutzen von anderen Sicherheitslücken. Hin und wieder werden auch in Javascriptfunktionen Fehler entdeckt, die Sicherheitsrisiken darstellen.

Andererseits ist Javascript eine sehr einfache Möglichkeit, Webseiten dynamisch bzw. interaktiv zu gestalten. HTML-Autoren, die Javascript können, fühlen sich außerdem als "echte Programmierer" und blicken herab auf reine HTML-Autoren. Javascript ist beliebt bei Angebern und Möchtegerns.

 

Interaktive Webseiten kann man auf zwei Arten machen

 

Die Perspektive des Anbieters

Aus der Perspektive des Anbieters besteht das ganze Internet nur aus einer einzigen Website: seiner eigenen. Anbieter neigen zu der Auffassung: Wenn unsere Webseiten weder uns noch unsere User gefährden, dann ist alles in Ordnung.

Anbieter bestehen auf CGI in Bereichen, wo sie sicher sein wollen, daß der User nichts manipulieren kann, z.B. bei ihren Kundendaten.

Anbieter greifen aber gern zu Javascript, wo es ihnen auf Datensicherheit nicht ankommt, z.B. wenn die Webseite nur ein bißchen hübscher und ansprechender sein soll. HTML-Autoren, die Javascript können, sind nämlich erheblich billiger als Leute, die interaktive Webseiten mit Hilfe von CGI-Skripten machen können.

 

Die Perspektive des Users

Es gibt im Internet viele Millionen Webseiten. Ein sehr geringer Prozentsatz davon ist bösartig. User besuchen meist zahlreiche Webseiten. Ob eine Seite bösartig ist oder nicht, kann man in der Regel nicht sehen. Nur wenn man man bemerkt, daß man sich einen Virus, einen Trojaner oder einen Dialer eingefangen hat, weiß man es vielleicht hinterher.

Aus der Perspektive des Users ist Javascript ein unnötiges Risiko. Kein Fachmann für Sicherheit würde Javascript empfehlen, im Gegenteil: Alle warnen davor. Fachleute und sicherheitsbewußte User ärgern sich über Webseiten, die ohne Javascript nicht funktionieren.

 

Warnungen vor Javascript

"Gefahren und Risiken im Umgang mit JavaScript/JScript" http://www.bsi.bund.de/fachthem/sinet/aktiveinhalte/definitonen/javascriptgefahren.htm

"c't und das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen, aktive Inhalte standardmäßig auszuschalten. Leider haben Sicherheitsprobleme von Webserversoftware gezeigt, dass sich eine Beschränkung auf ausgewählte, vertrauenswürdige Sites aushebeln lässt, sofern diese bestimmte Software einsetzen (vgl. c't 3/99, S. 64)." http://www.heise.de/ct/00/04/208/default.shtml

"The most significant impact of this vulnerability can be avoided by disabling all scripting languages. Turning off these options will keep you from being vulnerable to malicious scripts. However, it will limit the interaction you can have with some web sites." http://www.cert.org/tech_tips/home_networks.html#IV-A-9

"Wenn Sie den Microsoft Internet Explorer benutzen, deaktivieren Sie deshalb sicherheitshalber unter Extras > Internetoptionen > Sicherheit > Internet > Stufe anpassen? das Ausführen aller ActiveX-Steuerelemente sowie den Download derselben, außerdem Java und JavaScript (Scripting) sowie die Option ActiveX-Steuerelemente und Plugins ausführen." http://wwwzit.uni-paderborn.de/zit/internetsicherheit.htm

"Wer auf JavaScript verzichten kann, sollte es deaktivieren. Dabei sind eventuell einige Komforteinbußen hinzunehmen, dafür fällt ein wichtiges potenzielles Risiko weg." http://www.heise.de/security/dienste/browsercheck/anpassen/nc70/02.shtml

"ActiveScripting enthält die Einstellungen für   JScript und   VBScript. Da Scripting das Ausnutzen von Sicherheitslücken häufig erst ermöglicht, sollten Sie es deaktivieren. Dadurch geht allerdings bei vielen Sites einiges an Funktionalität verloren." http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/02.shtml

"Die meisten der bekannt gewordenen Sicherheitslücken in Web-Browsern sind eng mit JavaScript verknüpft. Wo es nicht Hauptgegenstand des Bugs ist, benötigt man es häufig, um die Sicherheitslücke ausnutzen zu können." http://www.heise.de/security/dienste/browsercheck/tests/js.shtml

 

Mit Javascript ausgenutzte Sicherheitslücken

Ich habe nur mal schnell in Google eingetippt:

sicherheitslücke javascript

Da werden 29.700 Treffer angezeigt. Hier ist eine kleine Auswahl aus den ersten 50:

13. Dezember 2004: "JavaScript-Sicherheitslücke betrifft alle Browser" http://www.ecomm-online.de/aktuell+M5ebdad86f9d.html

c't 1/2005, S. 28: "Passwort-Diebstahl - Sicherheitslücke JavaScript in eBay-Auktionen" http://www.heise.de/ct/05/01/028/

02.01.2002: "Internet Explorer hat Sicherheitslücke in JavaScript" http://www.golem.de/0201/17584.html

16.März 2004: "Der Trick funktioniert so: Ein Betrüger kopiert beim Erstellen seines Angebotes ein kleines, vierzeiliges Javascript in den Angebotstext seines Artikels. Dieses Mini-Programm manipuliert im Web-Browser des Opfers die Bieten-Schaltfläche. Nach dem Anklicken leitet die Schaltfläche die eingegeben Daten nicht an Ebay weiter, sondern lenkt sie auf einen anderen Server um." http://onlinemarktplatz.de/article175.html

04.02.2003: "Kritische JavaScript-Sicherheitslecks in Opera 7" http://www.golem.de/0302/23806.html

17. Juli 2004: "Verknüpfung von JavaScript-Code mit IMG-Tag ermöglicht eventuell Zugriff auf lokale Dateien" http://support.microsoft.com/default.aspx?scid=kb;de;D41618

04.09.97: "Auch in diesem Fall war es wieder eine Sicherheitsproblem, das sich auf den von Netscape geförderten JavaScript-Standard zurückführen läßt." http://www.intern.de/97/18/20.shtml

03.08.2004: "Fertigt nun ein Angreigfer eine speziell präparierte HTML-Seite mit darin enthaltenem JavaScript an, so kann über deren Code der überlauf erzeugt und der fremde Programmcode eingeschleust werden." http://board.protecus.de/showtopic.php?threadid=11768

26.10.99: "Demnach könnte ein Hacker unbemerkt ein zweites Fenster im Browser öffnen, in dem ein Javascript-Programm gestartet wird. Dieses Fenster ist winzig klein und fällt nur auf, wenn der User den Browser minimiert. Das Programm protokolliert nun die URLs mit, die der User eingibt, und fängt Daten ab, die in HTML-Seiten eingetippt werden," http://forum.de.selfhtml.org/archiv/1999_4/t07637.htm#a38358

17.12.2004: "Laut Greyhat ist es durch einen Fehler im ActiveX-Control 'DHTML-Edit' möglich, beliebigen HTML- und JavaScript-Code in eine dargestellte Web-Seite einzuschleusen. Auch können Skript-Codes via 'execScript()'-Funktion dem IE unbemerkt untergeschoben werden." http://www.verivox.de/News/ArticleDetails.asp?aid=8577

 

Suche bei heise.de

41 Nachrichten (von 1997 bis 2005) finden sich allein beim Heise-Verlag mit den Stichwörtern "sicherheitslücke" und "javascript" http://www.heise.de/newsticker/search.shtml?T=sicherheitsl%FCcke+javascript&button=los%21

12.2.2005: http://www.heise.de/newsticker/meldung/56323 "Einstweilige Verfügung gegen Demo von eBay-Sicherheitslücke aufgehoben [...] die Verfügung sei aufgrund falscher Angaben seitens eBay ergangen. Ein Mitarbeiter der Online-Auktion habe an Eides statt erklärt, Leporda hätte in der Sendung am 15. Dezember 2004 die Daten eines eBay-Mitglieds ohne dessen Wissen und Einverständnis ausspioniert und veröffentlicht. Jeder, der die Sendung gesehen hat, könne bestätigen, dass dies falsch sei. [...] Das Sicherheitsproblem besteht darin, dass eBay in Auktionsbeschreibungen unter anderem JavaScript zulässt. Damit kann der Verkäufer Inhalte wie das Bewertungsprofil fälschen oder den Bieter auf eine nachgemachte Seite umleiten, um dort die Passworteingabe abzufangen."

 

Schwarze Schafe

Es gibt Anbieter, denen nicht nur ihre eigene Sicherheit am Herzen liegt, sondern die auch an die Sicherheit der User denken. Es gibt auch Anbieter denen die Sicherheit ihrer Kunden egal ist. Und es gibt auch die schwarzen Schafe unter den Anbietern, die ihren Kunden über die Risiken von Javascript (und anderer aktiver Inhalte) Unwahrheiten erzählen.

Seltsamerweise findet man auch Fachfirmen wie z.B. PC-Zeitschriften oder Internetprovider unter den schwarzen Schafen. Auch Banken sind dabei, die eigentlich etwas von Sicherheit verstehen sollten.

 

Falschinformationen über Javascript

"JavaScript ist grundsätzlich ungefährlich, da diese Programiersprache im Gegensatz zu z.B. Java und ActiveX keine Befehle enthält, die Zugriff auf Festplatte oder andere Datenträger erlaubt." http://www.ish.de/service/internet/anleitungen/sicherheit/javascript.html

"Das Abschalten des Scriptings ist wenig empfehlenswert - viele aufwändig gestaltete Web-Seiten benutzen Javascript und funktionieren ohne Scripting nicht richtig. Enthält eine Website weder Active-X-Controls noch Java-Applets, sind Script-Sprachen relativ ungefährlich." http://www.pcwelt.de/know-how/online/30212/index11.html

"Javascripts sind ungefährlich und richten keinerlei Schaden auf Ihrem Computer an" http://www.t-mobile.at/browserempfehlungen.html

 

Weißes Schaf - doch wieder schwarz

Einer der Anbieter, die ich hier - schamlos wie ich bin - an den Pranger gestellt hatte, nämlich http://www.alice.de/ hat die betreffende Seite inzwischen geändert, so daß sie jetzt ohne Javascript auskommt. Es ist mein Internet-Provider. Danke, Alice. Update: Nun braucht man zum Herunterladen der Rechnung in Form einer PDF-Datei plötzlich Javascript. Hast Du noch alle Latten am Zaun, Alice?

abatz.de Jörn Abatz - Technische Software Impressum