XSS-Lücke gefährdet Millionen Nutzer von Wix.com

Der Website-Hoster verfügt über zwei Millionen Kunden sowie 86 Millionen auf der Plattform registrierte Nutzer. Die Schwachstelle hätte einen Wurm ermöglicht, der sich über Millionen von Websites verbreitet. Wix.com reagierte zunächst nicht auf die Informationen eines Sicherheitsforschers.

Eine Cross-Site-Scripting-Lücke (XSS) auf der Publishing-Plattform Wix.com hat Millionen Nutzer gefährdet. Das Unternehmen bietet eine Art von Website-Baukasten und zugleich das Hosting der per Drag and drop erstellten Sites an. Nach seinen eigenen Angaben verfügt es über zwei Millionen Abonnenten sowie 86 Millionen auf der Plattform registrierte Nutzer.

Security (Bild: Shutterstock)

Entdeckt wurde die Lücke von Matt Austin, einem bei Contrast Security tätigen Sicherheitsforscher. Er versuchte zunächst Wix.com vertraulich über die Gefährdung zu informieren. Auf seine E-Mails hin erhielt er jedoch nur nichtssagende und hinhaltende Antworten, die ihm den Eindruck vermittelten, dass es dort gar keinen Ansprechpartner für Sicherheitsprobleme gibt. Er veröffentlichte daher am 2. November seine Erkenntnisse über die Sicherheitslücke und dokumentierte dazu auch seine Versuche seit dem 10. Oktober, mit Sicherheitsbeauftragten des Hosting-Providers in Verbindung zu kommen.

Austin beschrieb mögliche Angriffsszenarios. So könnte der Betreiber einer Wix-Website zum Besuch einer bösartigen URL bewegt werden, um mit einem präparierten JavaScript dessen Browsersitzung zu übernehmen. Der Angreifer könnte sodann jegliche Aktionen als dieser authentifizierte Nutzer durchführen – beispielsweise eine von diesem betriebene Website verändern, Website-Administrationsrechte Dritten zukommen lassen oder eine auf der Plattform gehostete E-Commerce-Site infiltrieren, um Kreditkartendaten zu entwenden.

„Die administrative Kontrolle einer Wix.com-Site könnte für eine breite Verteilung von Malware genutzt werden“, schrieb der Sicherheitsforscher. Eine ausgeweitete Attacke könnte außerdem einen Wurm ermöglichen, der sich schließlich über Millionen von Wix.com-Sites verbreitet.

Einen Tag nach der Veröffentlichung reagierte schließlich auch der Plattformbetreiber. „Wir nehmen die Sicherheit unserer Kunden sehr ernst“, sagte Wix.com-Sprecher Matt Rosenberg. „Nach gründlicher Untersuchung können wir feststellen, dass das Problem behoben wurde. Wir betreiben ein offizielles Bug-Prämien-Programm und unternehmen Schritte, um die Community auszuweiten.“

In die Kritik kam Wix.com vor Kurzem auch wegen der Übernahme von Open-Source-Code, der von WordPress entwickelt wurde, ohne den GPL-Lizenzbedingungen zu entsprechen. In einem Blogeintrag warf WordPress-Mitinitiator und Automattic-CEO Matt Mullenweg dem Unternehmen vor, seinen Editor mit gestohlenem Code geschaffen zu haben. „Wix hat immer freizügige Anleihen bei WordPress gemacht – einschließlich dem Firmennamen, der Wixpress Ltd war“, schrieb er. „Aber dieses dreiste Abzocken und der Code-Diebstahl geht weit über alles hinaus, was mir jemals bei einem Konkurrenten untergekommen ist.“

[mit Material von Charlie Osborne, ZDNet.com]

ANZEIGE

Zuverlässiger Schutz vor Ransomware

Ransomware heißt das aktuelle Schreckgespenst in der IT-Welt. Ob Privatanwender, Unternehmen oder öffentliche Institution: Praktisch jeder Internetnutzer hat Angst davor, dass er plötzlich nicht mehr auf seine Daten zugreifen kann, da sie verschlüsselt sind. Dabei bieten aktuelle Sicherheitslösungen wie Bitdefender 2017 zuverlässig Schutz vor dieser Erpressungssoftware.

Themenseiten: Internet, Security, Sicherheit, Webentwicklung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu XSS-Lücke gefährdet Millionen Nutzer von Wix.com

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *