Anzeige
OpenX-Adserver 2.8.0  bis 2.8.8 mit gefährlicher Schwachstelle
OpenX-Adserver 2.8.0 bis 2.8.8 mit gefährlicher Schwachstelle (Bild: OpenX)

Adserver OpenX soll bald keine Schadsoftware mehr verteilen können

Schon seit Wochen wird berichtet, dass der OpenX-Werbeserver 2.8.8 von Kriminellen gehackt wird, um Schadsoftware in großem Stil zu verteilen. Nun hat die Firma hinter dem Open-Source-Projekt einen Sicherheitspatch versprochen.

Anzeige

Der Werbeserver OpenX wird seit einiger Zeit angegriffen, um Schadsoftware zu verteilen. Dabei erstellen die Angreifer einen Administrator-Account und platzieren über diesen Werbemittel mit schädlichen Inhalten. So werden Sicherheitslücken auf Rechnern von Besuchern ausgenutzt, um beispielsweise Trojaner und Ähnliches beim Nutzer zu installieren. Es gibt aber auch Social-Engineering-Angriffe mit dem Ziel, angebliche Anti-Virus-Software zu verkaufen.

Die Firma hinter dem Werbeserver geht nicht offen mit den Problemen um und hat bisher auf die Berichte von Sicherheitsforschern nicht reagiert, die zum Teil schon Ende März 2012 erschienen sind. Offenbar hat der Druck aber nun gereicht: Wie Sicherheitsexperte Brian Krebs erfahren hat, plant die Firma einen Sicherheitspatch und will auch bald in ihrem Blog über die Problematik informieren.

Der Patch soll eine gefährliche Cross-site-request-forgery-Schwachstelle (CSRF) beseitigen. Kriminelle haben mit Hilfe dieser Lücke Administratorenzugänge geschaffen. Interessanterweise sollen die Probleme durch eingeblendete Werbung von OpenX selbst entstanden sein. Beim Anmelden beim OpenX-Server wird ein Banner von OpenX direkt eingeblendet. Der Werbeserver mit der Eigenwerbung, der diese an die Administratoren der OpenX-Werbeserver ausliefert, ist offenbar gehackt worden und erreicht so zahlreiche Administratoren und ihre OpenX-Server bereits beim Einloggen mit einem manipulierten Werbemittel.

Krebs konnte mit den Verantwortlichen bei OpenX ein Gespräch führen, die aber keine Details zur Attacke offenbaren wollten. Sie gaben aber immerhin zu, dass es diese CSRF-Schwachstelle gibt.

Einen Patch soll es nächste Woche, möglicherweise am Montag oder Dienstag geben. Zwischenzeitlich ist ein Blogpost bei OpenX erschienen, das Betroffenen erklärt, wie ein Hack erkannt wird und wie die Probleme zumindest abgeschwächt werden.


SoniX 03. Mai 2012

Ich sag immer: "Ein gutes Produkt braucht keine Werbung" ;-)

SoniX 03. Mai 2012

Nicht nur dass sie uns einfach überall nerven indem sie Seitenladezeiten in die Knie...

Kommentieren



Anzeige

  1. Manager (m/w) Database-Marketing
    R+V Allgemeine Versicherung AG, Wiesbaden
  2. IT-Mitarbeiter/in fachlich-technische Dienstleistungen
    Landeshauptstadt München, München
  3. IT-Operations Analyst Produktdatenmanagement PIM (m/w)
    Media-Saturn IT-Services GmbH, Ingolstadt
  4. Technischer Redakteur (m/w)
    Jetter AG, Ludwigsburg

Detailsuche


Spiele-Angebote
  1. NEU: Watch Dogs [PC Download]
    7,50€
  2. BIS SONNTAG GÜNSTIGER: Project Cars
    19,95€
  3. NEU: Xbox One 1TB Elite Bundle (inkl. Halo 5 Sammelkarte)
    429,00€ (Amazon)

Weitere Angebote


Folgen Sie uns
       


  1. Verschlüsselung

    Thüringens Verfassungsschutzchef Kramer verlangt Hintertüren

  2. Xeon D-1571

    Intel veröffentlicht sparsamen Server-Chip mit 16 Kernen

  3. Die Woche im Video

    Sensationen und Skandale

  4. Micron

    Von 1Y-/1Z-DRAM-, 3D-Flash- und 3D-Xpoint-Plänen

  5. Hochbahn

    Hamburger Nahverkehr bekommt bald kostenloses WLAN

  6. ViaSat Joint Venture

    Eutelsat wird schnelleres Satelliten-Internet bieten

  7. SSDs

    Micron startet Serienfertigung von 3D-NAND-Flash

  8. TV-Kabelnetz

    Ausfall für 30.000 Haushalte bei Unitymedia

  9. Nordrhein-Westfalen

    Mehrere Krankenhäuser von Malware befallen

  10. Erneuerbare Energien

    Brennstoffzelle produziert Strom oder Wasserstoff



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Raspberry Pi Zero angetestet: Der Bastelrechner für stille, dunkle Ecken
Raspberry Pi Zero angetestet
Der Bastelrechner für stille, dunkle Ecken
  1. Jaguarboard Noch ein Bastelcomputer mit Intel-Chip
  2. Cricetidometer mit Raspberry Pi Ein Schrittzähler für den Hamster
  3. Orange Pi Lite Preis- und Größenkampf der Bastelcomputer

Lumberyard: Amazon krempelt den Spielemarkt um
Lumberyard
Amazon krempelt den Spielemarkt um
  1. Lumberyard Amazon veröffentlicht Engine auf Basis der Cryengine

VBB-Fahrcard: Der Fehler steckt im System
VBB-Fahrcard
Der Fehler steckt im System
  1. VBB-Fahrcard Busse speichern seit mindestens April 2015 Bewegungspunkte
  2. VBB-Fahrcard Berlins elektronische Fahrkarte speichert Bewegungsprofile

  1. Wieso Blätter?

    heubergen | 11:56

  2. Re: Zeit für Technik ohne diese Seltene Erden u...

    Kaliumhexacyano... | 11:54

  3. Re: Wo ist der Typ denn ausgegraben worden?

    dudida | 11:54

  4. Re: Surface Phone mit XPoint Memory (?)

    Kleba | 11:53

  5. Re: Open Source...

    dudida | 11:52


  1. 11:03

  2. 09:21

  3. 09:03

  4. 00:24

  5. 18:25

  6. 18:16

  7. 17:46

  8. 17:22


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel