XSS-Sicherheitslücke geschlossen / mailbox.org-User waren bestmöglich geschützt

Die Security Firma „Prosec Networks“ hat auf eine XSS-Sicherheitslücke in der Groupware Open-Xchange aufmerksam gemacht. Dazu erschien heute auch ein Artikel auf Heise Security.
Zur Ausnutzung dieser Sicherheitslücke müssen folgende Bedingungen erfüllt sein:

1. Der Angreifer muss den Empfänger dazu bringen, auf einen präparierten Link zu klicken.
2. Der Nutzer muss einen veralteten Browser verwenden, der keine Features zur XSS-Protection unterstützt. Oder der Webserver des Anbieters der Open-Xchange Groupware (wie z.B. mailbox.org) muss aktuelle Sicherheitsstandards vernachlässigen und die XSS-Protection moderner Browser nicht aktivieren.

Die Webserver von mailbox.org sind besonders sicher konfiguriert und senden spezielle HTTP-Einstellungen mit. Wir unterstützen damit schon seit längerem die XSS-Protection der aktuellen Browser. mailbox.org-Nutzer mit aktuellen und sicher konfigurierten Browsern sind durch diese Sicherheitslücke nicht betroffen gewesen.

Folgende Browser besitzen eine XSS-Protection:

• Internet Explorer (IE) 8 und neuer
• alle Webkit-Browser seit 2010 (Google Chrome 4.x, Safari, Epiphany u.a.)
• Firefox leider nur mit dem leicht installierbaren NoScript Add-on seit 2009/2010

Die Sicherheitslücke wurde schon vor drei Wochen durch ein Update behoben. Unabhängig davon müssen Nutzer im Internet generell auf aktuelle Browser mit modernen Sicherheitsfunktionen achten, um grundsätzlich vor Angriffen dieser Art bestmöglich geschützt zu sein.

Veralteten Browsern mangelt es nicht nur an aktuellen Sicherheitsfeatures, sie enthalten auch eine Vielzahl bereits publizierter anderer Sicherheitslücken, die für Angriffe ausgenutzt werden können.

Nutzern von Firefox wird der Einsatz des NoScript-Add-on empfohlen.