Adserver OpenX soll bald keine Schadsoftware mehr verteilen können

Schon seit Wochen wird berichtet, dass der OpenX-Werbeserver 2.8.8 von Kriminellen gehackt wird, um Schadsoftware in großem Stil zu verteilen. Nun hat die Firma hinter dem Open-Source-Projekt einen Sicherheitspatch versprochen.

Anzeige

Der Werbeserver OpenX wird seit einiger Zeit angegriffen, um Schadsoftware zu verteilen. Dabei erstellen die Angreifer einen Administrator-Account und platzieren über diesen Werbemittel mit schädlichen Inhalten. So werden Sicherheitslücken auf Rechnern von Besuchern ausgenutzt, um beispielsweise Trojaner und Ähnliches beim Nutzer zu installieren. Es gibt aber auch Social-Engineering-Angriffe mit dem Ziel, angebliche Anti-Virus-Software zu verkaufen.

Die Firma hinter dem Werbeserver geht nicht offen mit den Problemen um und hat bisher auf die Berichte von Sicherheitsforschern nicht reagiert, die zum Teil schon Ende März 2012 erschienen sind. Offenbar hat der Druck aber nun gereicht: Wie Sicherheitsexperte Brian Krebs erfahren hat, plant die Firma einen Sicherheitspatch und will auch bald in ihrem Blog über die Problematik informieren.

Der Patch soll eine gefährliche Cross-site-request-forgery-Schwachstelle (CSRF) beseitigen. Kriminelle haben mit Hilfe dieser Lücke Administratorenzugänge geschaffen. Interessanterweise sollen die Probleme durch eingeblendete Werbung von OpenX selbst entstanden sein. Beim Anmelden beim OpenX-Server wird ein Banner von OpenX direkt eingeblendet. Der Werbeserver mit der Eigenwerbung, der diese an die Administratoren der OpenX-Werbeserver ausliefert, ist offenbar gehackt worden und erreicht so zahlreiche Administratoren und ihre OpenX-Server bereits beim Einloggen mit einem manipulierten Werbemittel.

Krebs konnte mit den Verantwortlichen bei OpenX ein Gespräch führen, die aber keine Details zur Attacke offenbaren wollten. Sie gaben aber immerhin zu, dass es diese CSRF-Schwachstelle gibt.

Einen Patch soll es nächste Woche, möglicherweise am Montag oder Dienstag geben. Zwischenzeitlich ist ein Blogpost bei OpenX erschienen, das Betroffenen erklärt, wie ein Hack erkannt wird und wie die Probleme zumindest abgeschwächt werden.


SoniX 03. Mai 2012

Ich sag immer: "Ein gutes Produkt braucht keine Werbung" ;-)

SoniX 03. Mai 2012

Nicht nur dass sie uns einfach überall nerven indem sie Seitenladezeiten in die Knie...

Kommentieren



Anzeige

  1. Mitarbeiter/-in Informationstechnologie, Produktdatenmanagement / Bill of Materials Support und Prozesse
    Daimler AG, Sindelfingen
  2. IT Support Specialist (m/w) - Applikationsbetreuung
    Real Garant über Baden Executive Search Personalberatung GmbH, Neuhausen auf den Fildern
  3. Senior BI Solutions Architekt (m/w)
    SolarWorld AG, Bonn
  4. Social Media Manager (m/w)
    Hubert Burda Media, Offenburg

 

Detailsuche


Folgen Sie uns
       


  1. AMD-Vize Lisa Su

    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

  2. Bärbel Höhn

    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

  3. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte

  4. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  5. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  6. Spähaffäre

    Snowden erklärt seine Frage an Putin

  7. CSA-Verträge

    Microsoft senkt Preise für Support von Windows XP

  8. Test Wyse Cloud Connect

    Dells mobiles Büro

  9. Globalfoundries-Kooperation mit Samsung

    AMDs Konsolengeschäft kompensiert schwache CPU-Sparte

  10. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IMHO - Heartbleed und die Folgen: TLS entrümpeln
IMHO - Heartbleed und die Folgen
TLS entrümpeln

Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.

  1. Revocation Zurückziehen von Zertifikaten bringt wenig
  2. TLS-Bibliotheken Fehler finden mit fehlerhaften Zertifikaten
  3. Verschlüsselung E-Mail nur noch mit TLS

Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Test LG L40: Android 4.4.2 macht müde Smartphones munter
Test LG L40
Android 4.4.2 macht müde Smartphones munter

Mit dem L40 präsentiert LG eines der ersten Smartphones mit der aktuellen Android-Version 4.4.2, das unter 100 Euro kostet. Dank der Optimierungen von Kitkat überrascht die Leistung des kleinen Gerätes - und es dürfte nicht nur für Einsteiger interessant sein.

  1. LG G3 5,5-Zoll-Smartphone mit 1440p-Display und Kitkat
  2. LG L35 Smartphone mit Android 4.4 für 80 Euro
  3. Programmierbare LED-Lampe LG kündigt Alternative zur Philips Hue an

    •  / 
    Zum Artikel