OpenX-Adserver 2.8.0  bis 2.8.8 mit gefährlicher Schwachstelle
OpenX-Adserver 2.8.0 bis 2.8.8 mit gefährlicher Schwachstelle (Bild: OpenX)

Adserver OpenX soll bald keine Schadsoftware mehr verteilen können

Schon seit Wochen wird berichtet, dass der OpenX-Werbeserver 2.8.8 von Kriminellen gehackt wird, um Schadsoftware in großem Stil zu verteilen. Nun hat die Firma hinter dem Open-Source-Projekt einen Sicherheitspatch versprochen.

Anzeige

Der Werbeserver OpenX wird seit einiger Zeit angegriffen, um Schadsoftware zu verteilen. Dabei erstellen die Angreifer einen Administrator-Account und platzieren über diesen Werbemittel mit schädlichen Inhalten. So werden Sicherheitslücken auf Rechnern von Besuchern ausgenutzt, um beispielsweise Trojaner und Ähnliches beim Nutzer zu installieren. Es gibt aber auch Social-Engineering-Angriffe mit dem Ziel, angebliche Anti-Virus-Software zu verkaufen.

Die Firma hinter dem Werbeserver geht nicht offen mit den Problemen um und hat bisher auf die Berichte von Sicherheitsforschern nicht reagiert, die zum Teil schon Ende März 2012 erschienen sind. Offenbar hat der Druck aber nun gereicht: Wie Sicherheitsexperte Brian Krebs erfahren hat, plant die Firma einen Sicherheitspatch und will auch bald in ihrem Blog über die Problematik informieren.

Der Patch soll eine gefährliche Cross-site-request-forgery-Schwachstelle (CSRF) beseitigen. Kriminelle haben mit Hilfe dieser Lücke Administratorenzugänge geschaffen. Interessanterweise sollen die Probleme durch eingeblendete Werbung von OpenX selbst entstanden sein. Beim Anmelden beim OpenX-Server wird ein Banner von OpenX direkt eingeblendet. Der Werbeserver mit der Eigenwerbung, der diese an die Administratoren der OpenX-Werbeserver ausliefert, ist offenbar gehackt worden und erreicht so zahlreiche Administratoren und ihre OpenX-Server bereits beim Einloggen mit einem manipulierten Werbemittel.

Krebs konnte mit den Verantwortlichen bei OpenX ein Gespräch führen, die aber keine Details zur Attacke offenbaren wollten. Sie gaben aber immerhin zu, dass es diese CSRF-Schwachstelle gibt.

Einen Patch soll es nächste Woche, möglicherweise am Montag oder Dienstag geben. Zwischenzeitlich ist ein Blogpost bei OpenX erschienen, das Betroffenen erklärt, wie ein Hack erkannt wird und wie die Probleme zumindest abgeschwächt werden.


SoniX 03. Mai 2012

Ich sag immer: "Ein gutes Produkt braucht keine Werbung" ;-)

SoniX 03. Mai 2012

Nicht nur dass sie uns einfach überall nerven indem sie Seitenladezeiten in die Knie...

Kommentieren



Anzeige

  1. Senior Testmanager (m/w)
    T-Systems on site services GmbH, Nürnberg
  2. IT-Projektleiter/in
    Landeshauptstadt München, München
  3. Senior Softwareentwickler - Medizingeräte (m/w)
    SORIN GROUP Deutschland GmbH, München
  4. Mitarbeiter (m/w) für die Stelle BI / SharePoint Anwendungsentwicklung
    Daimler AG, Neuhausen auf den Fildern

 

Detailsuche


Hardware-Angebote
  1. JETZT ÜBERARBEITET: Alternate Schnäppchen Outlet
    (täglich neue Deals)
  2. Apple TV MD199FD/A (3. Generation, 1080p) schwarz
    65,00€
  3. PCGH-Performance-PC Fury-X-Edition
    (Core i7-4790K + AMD Radeon R9 Fury X)

 

Weitere Angebote


Folgen Sie uns
       


  1. MVNO

    Apple will in den USA und Europa Mobilfunkanbieter werden

  2. Systemkamera

    Fujifilm bringt Infrarotkamera X-T1 IR auf den Markt

  3. Smartwatch

    Krankenkasse bezuschusst Kauf von Apple Watch

  4. Square Enix

    Erfahrungen eines Schwarmfinanzierungshelfers

  5. Autodesk Stingray-Engine

    Mit Stachelrochen Rattenmenschen erschaffen

  6. Dota 2

    Wer wird neuer Dota-Millionär?

  7. Macbooks

    IBM wechselt vom Lenovo Thinkpad zum Mac

  8. Xperia M5 und C5 Ultra

    Sonys Angriff auf die Mittelklasse

  9. Virtual Reality

    Strategien gegen Übelkeit

  10. Juke

    Film-Streaming-Flatrate bei Media-Saturn künftig möglich



Haben wir etwas übersehen?

E-Mail an news@golem.de



Kritik an Dieter Nuhr: Wir alle sind der Shitstorm
Kritik an Dieter Nuhr
Wir alle sind der Shitstorm

Visual Studio 2015 erschienen: Ganz viel für Apps und Open Source
Visual Studio 2015 erschienen
Ganz viel für Apps und Open Source

Meizu MX4 mit Ubuntu im Test: Knapp daneben ist wieder vorbei
Meizu MX4 mit Ubuntu im Test
Knapp daneben ist wieder vorbei
  1. Meizu MX4 Ubuntu-Smartphone kommt noch diese Woche nach Europa
  2. Canonical Ubuntu-Phone mit Konvergenz kommt im Oktober
  3. Mark Shuttleworth Canonical erwägt offenbar Börsengang

  1. Re: Echt jetzt?

    norinofu | 09:23

  2. Werden auch Tauchcomputer bezuschusst?

    AlexanderSchäfer | 09:23

  3. Re: Als Betroffener...

    lokipo | 09:23

  4. Re: Bezuschussen die dann auch ...

    pythoneer | 09:23

  5. Re: apple watch fördern und das geld für hebammen...

    quineloe | 09:22


  1. 08:31

  2. 08:03

  3. 07:51

  4. 07:39

  5. 07:22

  6. 19:36

  7. 19:03

  8. 17:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel