[h=1]Fotos schmuggeln Schadcode auf Webseiten[/h]
Sicherheitsforscher haben eine neue Methode enttarnt, um Schadcode im Web zu platzieren: Über die Metadaten in Bilddateien.
Bei einem originellen Angriff, der nun zum ersten mal in freier Wildbahn entdeckt wurde, verbirgt sich der verräterische Quellcode eines iFrame-Injection-Angriffs in den Metadaten einer PNG-Datei. Der Angriff macht sich zu Nutze, dass die Metadaten von Bildern durch die meisten Virenscanner nicht untersucht werden.
Der Javascript-Code an sich ist sauber; das Bild dron.png enthält den Schadcode.
Bei dem von der Sicherheitsfirma Sucuri entdeckten Angriff lädt ein iFrame in der Webseite eine Javascript-Datei namens jquery.js, die daraufhin eine PNG-Datei lädt. In den Metadaten des Bildes steckt der eigentliche Exploit-Code, der per Javascript im Browser des Opfers dekodiert und dann ausgeführt wird. Der Schadcode wird in ein unsichtbares iFrame geladen.
Die neue Angriffsmethode ist schwerer zu entdecken, da die Javascript-Elemente keinen Schadcode enthalten, der bei genauerer Betrachtung auffallen würde. Um den Schadcode zu finden, muss man die Metadaten der PNG-Datei untersuchen. Der Angriff ist dabei nicht auf das PNG-Format beschränkt; der Schadcode könnte auch in anderen Bildformaten eingebettet sein.
Auch die Namensgebung der Javascript-Datei soll offensichtlich ablenken: jQuery ist eine legitime Javascript-Bibliothek, die auf vielen Webseiten benutzt wird.
Quelle: heise.de
Gruß: Homer