OpenX-Adserver 2.8.0  bis 2.8.8 mit gefährlicher Schwachstelle
OpenX-Adserver 2.8.0 bis 2.8.8 mit gefährlicher Schwachstelle (Bild: OpenX)

Adserver OpenX soll bald keine Schadsoftware mehr verteilen können

Schon seit Wochen wird berichtet, dass der OpenX-Werbeserver 2.8.8 von Kriminellen gehackt wird, um Schadsoftware in großem Stil zu verteilen. Nun hat die Firma hinter dem Open-Source-Projekt einen Sicherheitspatch versprochen.

Anzeige

Der Werbeserver OpenX wird seit einiger Zeit angegriffen, um Schadsoftware zu verteilen. Dabei erstellen die Angreifer einen Administrator-Account und platzieren über diesen Werbemittel mit schädlichen Inhalten. So werden Sicherheitslücken auf Rechnern von Besuchern ausgenutzt, um beispielsweise Trojaner und Ähnliches beim Nutzer zu installieren. Es gibt aber auch Social-Engineering-Angriffe mit dem Ziel, angebliche Anti-Virus-Software zu verkaufen.

Die Firma hinter dem Werbeserver geht nicht offen mit den Problemen um und hat bisher auf die Berichte von Sicherheitsforschern nicht reagiert, die zum Teil schon Ende März 2012 erschienen sind. Offenbar hat der Druck aber nun gereicht: Wie Sicherheitsexperte Brian Krebs erfahren hat, plant die Firma einen Sicherheitspatch und will auch bald in ihrem Blog über die Problematik informieren.

Der Patch soll eine gefährliche Cross-site-request-forgery-Schwachstelle (CSRF) beseitigen. Kriminelle haben mit Hilfe dieser Lücke Administratorenzugänge geschaffen. Interessanterweise sollen die Probleme durch eingeblendete Werbung von OpenX selbst entstanden sein. Beim Anmelden beim OpenX-Server wird ein Banner von OpenX direkt eingeblendet. Der Werbeserver mit der Eigenwerbung, der diese an die Administratoren der OpenX-Werbeserver ausliefert, ist offenbar gehackt worden und erreicht so zahlreiche Administratoren und ihre OpenX-Server bereits beim Einloggen mit einem manipulierten Werbemittel.

Krebs konnte mit den Verantwortlichen bei OpenX ein Gespräch führen, die aber keine Details zur Attacke offenbaren wollten. Sie gaben aber immerhin zu, dass es diese CSRF-Schwachstelle gibt.

Einen Patch soll es nächste Woche, möglicherweise am Montag oder Dienstag geben. Zwischenzeitlich ist ein Blogpost bei OpenX erschienen, das Betroffenen erklärt, wie ein Hack erkannt wird und wie die Probleme zumindest abgeschwächt werden.


SoniX 03. Mai 2012

Ich sag immer: "Ein gutes Produkt braucht keine Werbung" ;-)

SoniX 03. Mai 2012

Nicht nur dass sie uns einfach überall nerven indem sie Seitenladezeiten in die Knie...

Kommentieren



Anzeige

  1. Fachbereichsleiter (m/w) Architekturmanagement
    gkv informatik, Wuppertal
  2. Application Administrator (m/w)
    CROWN Gabelstapler GmbH & Co. KG, Feldkirchen bei München
  3. Projektleiter/in Produktentwicklung
    Robert Bosch GmbH, Leonberg
  4. System- / Netzwerkadministrator (m/w)
    m-result Market Research & Management Consulting GmbH, Mainz

 

Detailsuche


Hardware-Angebote
  1. MSI-Cashback-Aktion: Ausgewählte Grafikkarte und Mainboard kaufen
  2. Xbox One Wired Controller für Windows
    43,99€
  3. Evga Geforce GTX 960 SuperSC
    mit 20 Euro Cashback nur 194,90€ bezahlen

 

Weitere Angebote


Folgen Sie uns
       


  1. Deutsche Telekom

    All-IP-Anschlüsse sind auch ohne DSL möglich

  2. Internetversorgung in Zügen

    Empfangsqualität des Bahn-WLAN ist geheim

  3. Zweites Hearthstone-Adventure

    Der Preis ist heiß - nicht!

  4. Freifunker

    "WLAN-Gesetzentwurf bewirkt Gegenteil von öffentlichem WLAN"

  5. Wiko

    Neue LTE-Smartphones sollen um die 300 Euro kosten

  6. Near Field Magnetic Induction Hands on

    Drahtlos-Ohrhörer noch drahtloser

  7. LG

    Neue Android-Smartphones kosten ab 100 Euro

  8. Browserhersteller

    Firefox und Chrome erzwingen HTTP/2-Verschlüsselung

  9. Powerspy

    Stalking über den Akkuverbrauch

  10. LTE + Super Vectoring

    Hybridrouter der Telekom soll künftig 550 MBit/s bringen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Modulares Smartphone im Hands on: Kinder spielen Lego, Große spielen Ara
Modulares Smartphone im Hands on
Kinder spielen Lego, Große spielen Ara
  1. Project Ara Erster Hersteller hat rund 100 Smartphone-Module fertig
  2. Modulares Smartphone Googles neuer Project-Ara-Prototyp
  3. Project Ara Erstes modulares Smartphone vorerst nur für Puerto Rico

Lenovo Vibe Shot im Hands On: Überzeugendes Kamera-Smartphone für 350 US-Dollar
Lenovo Vibe Shot im Hands On
Überzeugendes Kamera-Smartphone für 350 US-Dollar
  1. Adware Lenovo-Laptops durch Superfish-Adware angreifbar
  2. Lenovo Tab S8-50F im Test Uns stinkt's!
  3. Lenovo Anypen Auf dem Touchscreen mit beliebigem Stift schreiben

Wolfenstein: Jagd auf Rudi und Helga
Wolfenstein
Jagd auf Rudi und Helga

  1. Re: OT: Rootanleitung für Xover 2 ?

    Catwiesel.318d | 02:14

  2. Re: Warum überhaupt WLAN

    Eheran | 02:08

  3. Re: Selberbau-PC

    Tzven | 01:46

  4. Re: Mittel-, Ring- und kleiner -Finger...

    jojololo | 01:37

  5. Re: Frage an Spieler

    Daemoneyes | 01:32


  1. 19:50

  2. 18:41

  3. 18:34

  4. 17:16

  5. 16:45

  6. 16:19

  7. 15:11

  8. 15:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel