26.03.2007, 08:59 Uhr
Oracles Application Server von Scripting-Attacke bedroht
Eine Schwachstelle in Oracles Application Server erlaubt Angreifern, beliebigen Javascript-Code im Browser von Anwendern auszuführen.
Ein Anwender hatte die Lücke auf der Security-Plattform Neohapsis veröffentlicht. In einer genaueren Analyse führt der französische Sicherheitsdienstleister FrSIRT das Leck auf eine fehlerhafte Überprüfung von Benutzereingaben im Dynamic Monitoring Service (DMS) zurück. Die Lücke erlaubt, Anwendern - beispielsweise durch gefälschte E-Mails - Links zu schädlichem Javascript-Code unterzuschieben, der von der Applikation als sicher eingestuft wird. Nutzer des Oracle-Portals sollten die Webanwendung nicht über fremde Links ansurfen, sondern nur über eigene Bookmarks darauf zugreifen.