Suchen

Lücke in SAP Netweaver ausgemerzt Hacker konnten SAP-Anwendern JavaScript unterschieben

Autor / Redakteur: Peter Hempel / Stephan Augsten

Die Compass Security AG hat eine Schwachstelle im SAP Netweaver Portal gefunden. Darüber ist es möglich, JavaScript im Browser eines Benutzers auszuführen, wenn dieser auf eine manipulierte URL klickt. SAP hat die Sicherheitslücke mittlerweile behoben.

Firma zum Thema

SAP hat eine Lücke im Neweaver Portal gefixt.
SAP hat eine Lücke im Neweaver Portal gefixt.
( Archiv: Vogel Business Media )

SAP Netweaver Portal bringt verschiedene Informationen, Anwendungen und Dienste aus heterogenen Systemen auf einer Oberfläche zusammen. Der Schweizer Sicherheitsexperte Compass Security hat in der Anwendung eine Lücke entdeckt. Dadurch kann dem Benutzer JavaScript untergeschoben werden, wenn er mit dem Microsoft Internet Explorer Version 7.0.5730 eine präparierte Webseite benutzt.

Die URL hierfür kann auf einer Webseite oder per E-Mail übermittelt werden. Durch die Schwachstelle kann ein Angreifer die Session-Informationen des Benutzers (Session Cookie) stehlen oder ihn auf eine Phishing-Webseite umleiten, welche eine gefälschte Login-Seite anzeigt. Ebenfalls gefährlich ist eine Weiterleitung auf Webseiten, die Browser-Schwachstellen ausnutzen um beliebigen Code auf den Clients auszuführen.

SAP hat die Lücke laut SAP Notification 1235253 mittlerweile beseitigt. Compass hat außerdem herausgefunden, dass der Firefox-Browser in Version 3.0 immun gegen den Angriff ist.

Artikelfiles und Artikellinks

(ID:2019187)