OpenX-Adserver 2.8.0  bis 2.8.8 mit gefährlicher Schwachstelle
OpenX-Adserver 2.8.0 bis 2.8.8 mit gefährlicher Schwachstelle (Bild: OpenX)

Adserver OpenX soll bald keine Schadsoftware mehr verteilen können

Schon seit Wochen wird berichtet, dass der OpenX-Werbeserver 2.8.8 von Kriminellen gehackt wird, um Schadsoftware in großem Stil zu verteilen. Nun hat die Firma hinter dem Open-Source-Projekt einen Sicherheitspatch versprochen.

Anzeige

Der Werbeserver OpenX wird seit einiger Zeit angegriffen, um Schadsoftware zu verteilen. Dabei erstellen die Angreifer einen Administrator-Account und platzieren über diesen Werbemittel mit schädlichen Inhalten. So werden Sicherheitslücken auf Rechnern von Besuchern ausgenutzt, um beispielsweise Trojaner und Ähnliches beim Nutzer zu installieren. Es gibt aber auch Social-Engineering-Angriffe mit dem Ziel, angebliche Anti-Virus-Software zu verkaufen.

Die Firma hinter dem Werbeserver geht nicht offen mit den Problemen um und hat bisher auf die Berichte von Sicherheitsforschern nicht reagiert, die zum Teil schon Ende März 2012 erschienen sind. Offenbar hat der Druck aber nun gereicht: Wie Sicherheitsexperte Brian Krebs erfahren hat, plant die Firma einen Sicherheitspatch und will auch bald in ihrem Blog über die Problematik informieren.

Der Patch soll eine gefährliche Cross-site-request-forgery-Schwachstelle (CSRF) beseitigen. Kriminelle haben mit Hilfe dieser Lücke Administratorenzugänge geschaffen. Interessanterweise sollen die Probleme durch eingeblendete Werbung von OpenX selbst entstanden sein. Beim Anmelden beim OpenX-Server wird ein Banner von OpenX direkt eingeblendet. Der Werbeserver mit der Eigenwerbung, der diese an die Administratoren der OpenX-Werbeserver ausliefert, ist offenbar gehackt worden und erreicht so zahlreiche Administratoren und ihre OpenX-Server bereits beim Einloggen mit einem manipulierten Werbemittel.

Krebs konnte mit den Verantwortlichen bei OpenX ein Gespräch führen, die aber keine Details zur Attacke offenbaren wollten. Sie gaben aber immerhin zu, dass es diese CSRF-Schwachstelle gibt.

Einen Patch soll es nächste Woche, möglicherweise am Montag oder Dienstag geben. Zwischenzeitlich ist ein Blogpost bei OpenX erschienen, das Betroffenen erklärt, wie ein Hack erkannt wird und wie die Probleme zumindest abgeschwächt werden.


SoniX 03. Mai 2012

Ich sag immer: "Ein gutes Produkt braucht keine Werbung" ;-)

SoniX 03. Mai 2012

Nicht nur dass sie uns einfach überall nerven indem sie Seitenladezeiten in die Knie...

Kommentieren



Anzeige

  1. Entwicklungsingenieur/in Softwareentwicklung und Elektroplanung
    Bosch Thermotechnik GmbH, Lollar
  2. Projektleiter/in Software
    Bosch Sensortec GmbH, Reutlingen
  3. SAP - HR Key User (m/w)
    Porsche Holding Salzburg über NP Neumann & Partners, Salzburg (Österreich)
  4. Softwareentwickler ADTF (m/w)
    MBtech Group GmbH & Co. KGaA, Magstadt

 

Detailsuche


Spiele-Angebote
  1. GRATIS: Syndicate bei Origin downloaden
  2. Bloodborne [PlayStation 4]
    59,00€
  3. FINAL FANTASY X/X-2 HD Remaster PS4
    49,99€ - Release 15.05.

 

Weitere Angebote


Folgen Sie uns
       


  1. E-Mail-App

    Gmail für Android mit gemeinsamer Inbox

  2. Windows 10

    Project Spartan kann ab sofort ausprobiert werden

  3. Phase One iXU 180

    80 Megapixel für die Drohnenfotografie

  4. Metashop

    Zalando will innerhalb von 30 Minuten liefern

  5. Mathias Döpfner

    Axel-Springer-Chef wird Vodafone-Aufsichtsrat

  6. Goodgame Studios

    Wachstum mit der umsatzstärksten App aus Deutschland

  7. Volvo Lifepaint

    Reflektorfarbe aus der Dose schützt Radfahrer

  8. Projekt-Hosting

    Tagelanger DDoS-Angriff auf Github

  9. Samsung

    Galaxy S4 bekommt Lollipop

  10. Deutsche Bahn

    WLAN im Nahverkehr in einigen Jahren



Haben wir etwas übersehen?

E-Mail an news@golem.de



Lenovo Thinkpad X1 Carbon im Test: Zurück zu den Wurzeln
Lenovo Thinkpad X1 Carbon im Test
Zurück zu den Wurzeln
  1. HyperX-Serie Kingstons Predator ist die vorerst schnellste Consumer-SSD
  2. Dell XPS 13 Ultrabook im Test Bis zur Unendlichkeit und noch viel weiter!
  3. Ultrabook Lenovo zeigt neues Thinkpad X1 Carbon

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. MSI 970A SLI Krait Edition Erstes AMD-Mainboard mit USB 3.1 vorgestellt
  2. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  3. USB 3.1 Richtig schnelle Mangelware

AMD Freesync im Test: Kostenlos im gleichen Takt
AMD Freesync im Test
Kostenlos im gleichen Takt
  1. eDP 1.4a Displayport-Standard für 8K-Bildschirme ist fertig
  2. Adaptive Sync für Notebooks Nvidia arbeitet an G-Sync ohne Zusatzmodul
  3. LG 34UM67 Erster Ultra-Widescreen-Monitor mit Freesync vorgestellt

  1. Re: schlimme Hype

    exxo | 07:09

  2. Re: Ruckelorgie. Mit jedem update schlechter

    cuthbert34 | 07:05

  3. Re: Wer kauft bitte schön ein 850 Euro Handy mit...

    exxo | 07:01

  4. Re: ähm

    drsnuggles79 | 06:59

  5. Re: Zalando soll bitte einfach nur pleite gehen

    drsnuggles79 | 06:57


  1. 07:25

  2. 07:17

  3. 22:59

  4. 19:05

  5. 16:54

  6. 16:22

  7. 14:50

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel