Sicherheit-Online meldet Schwachstelle bei Stern.de
sToRm 
Vor wenigen Minuten haben wir die Betreiber des Internetportals "Stern.de" über eine Schwachstelle informiert, die ein potentielles Ziel für Angreifer und gleichzeitig ein gravierendes Problem für die Besucher des Internetdienstes darstellen könnte. Über ungefilterte Benutzereingaben ist es möglich, Schadcode in die betroffenen Seiten zu integrieren. Besucher, die über manipulierte Links in das Portal gelangen, könnten von einem Angreifer ausgespäht und deren Computer mit Malware infiziert werden. ...
Auch ein direkter Zugriff auf den Computer des Besuchers über ggf. vorhandene Schwachstellen im Browser wäre möglich. Weitere Sicherheitslücken auf Stern.de können bislang nicht ausgeschlossen werden, da eine erweiterte Überprüfung aus rechtlicher Sicht, nicht ohne Zustimmung der Betreiber möglich ist.
In den letzten Wochen mussten feststellen, dass sich die Zahl der Angriffe auf große Unternehmen und Nachrichtendienste, enorm verstärkt haben. Leider mussten wir selbst feststellen, dass gerade die großen Unternehmen zum Teil erhebliche Probleme mit der Sicherheit Ihrer Internetpräsenzen und Netzwerke haben. Die sehr oft vorhandene, totale Ignoranz gegenüber Schwachstellen bzw. Hinweise auf Sicherheitslücken, bringt ein eher unangenehmes Bauchgefühl mit sich. Die technischen Probleme und das teilweise blanke Versagen von den Verantwortlichen, kann man schlichtweg - gerade bei derartigen "Größen" - nicht nachvollziehen. Man musste feststellen, dass die kleinen Unternehmen, sowie die eher kleinen Shopbetreiber, mehr Wert auf die Sicherheit der eigenen Präsenzen und Kunden legen, als es die großen Unternehmen tun, welche aber grundsätzlich über die finanziellen Mittel verfügen, ausführliche Prüfungen durchführen zu lassen.
Man ist bereits gespannt, wie die Betreiber von Stern.de auf die Hinweise reagieren werden. Man hofft, dass in diesem Fall keine Ignoranz oder Androhung rechtlicher Schritte zu verzeichnen sein wird. Schließlich geht es um den Schutz der Kunden und Besucher bzw. der Internetnutzer, die gerade bei derartigen Unternehmen ein großes Vertrauen in die Sicherheit der Internetpräsenzen legen. Wir werden an dieser Stelle natürlich über das weitere Vorkommen berichten.
Update 24.07.2011:
Offensichtlich hat Stern bereits reagiert und die besagte bzw. gemeldete Sicherheitslücke geschlossen. Eine Nachprüfung ergab, dass die Schwachstelle nicht mehr aktiv ausgenutzt werden kann. Etwas schade ist allerdings, dass von den Betreibern keinerlei Kontaktversuch oder Antwort auf unsere Meldung kam. Zwar wurden zahlreiche Zugriffe der Betreiber auf diesen Beitrag, sowie auf das Impressum von Sicherheit-Online.org festgestellt, jedoch hat man wohl keinen Wert darauf gelegt, die genauen Informationen über die Schwachstelle zu erfahren. Schon ein wenig "arm" für ein Unternehmen dieser Größe. Ein einfaches "Danke" oder zumindest die Information, dass die Lücke geschlossen wurde, wäre eigentlich angebracht gewesen.
