Categories: CRMMarketing

Salesforce.com patcht Cross-Site-Scripting-Leck

Salesforce.com behebt ein Leck in einer Subdomain. Über eine Cross-Site-Scripting-Lücke (XSS) konnten Angreifer Accounts übernehmen, Phishing-Attacken durchführen oder auch bösartigen Code installieren.

Das Leck wurde von dem Sicherheitsforscher Aditya Sood von Elastica Cloud Threat Labs in einem Blog veröffentlicht. Sood hatte das Leck jedoch bereits vor einem Monat an Salesforce.com gemeldet und der Hersteller hat es zwischenzeitlich behoben.

Die Sicherheitslücke betraf die Subdomain admin.salesforce.com, daher sei das Leck auch etwas weniger kritisch. Dennoch: Hacker konnten durch die vertrauenswürdige Domain Nutzer in Sicherheit wiegen und dazu bringen, ihre Nutzerdaten einzugeben.

Der Fehler kam dadurch zu Stande, dass eine bestimmte Funktion in einer installierten Anwendung, die Eingaben eines Remote-Nutzers bei einem HTTP-Request nicht filterten. Dadurch, so erklärt Sood, sei der Angreifer in der Lage gewesen, JavaScript im Kontext der Anwendung auszuführen und somit die Privatsphäre und die Sicherheit eines Salesforce-Nutzers auszuheben.

Login-Promt auf admin.salesforce.com mit XSS-Leck. (Bild: Elastica)

“Dazu kommt, dass alle Salesforce-Accounts für verschiedene Anwendungen dem Risiko ausgesetzt waren, weil Salesforce ein Single Sign-on für die Verwaltung von verschiedenen Accounts verwendet”, erklärt der Sicherheitsforscher in seinem Blog. Dadurch waren auch Cloud-Anwendungen von dem Leck betroffen.

Um das Leck auszunutzen musste ein Hacker ein Popup erstellen, das den Salesforce-Login nachahmt und dabei konnte er Remote über das XSS-Leck den JavaScript-Code einfügen. Damit loggte sich der Nutzer in seinem echten Salesforce.com-Account ein. Seine Nutzerdaten jedoch wurden dabei an einen Server des Angreifers geschickt.

Loading ...
Redaktion

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

16 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

17 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

18 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago