Gravierende Sicherheitslücke im osCommerce Shopsystem

4. August 2011

Nach einem Bericht des Amorize Malware Blogs nutzen Unbekannte mehrere seit Längerem bekannte Lücken einer veralteten Version des quelloffenen Shopsystem osCommerce zur Verbreitung von Schadcode aus. Dieser versucht bei Besuchern der infizierten Onlineshops nach Möglichkeit Schadsoftware zu installieren. Nach Recherchen von Amorize ist die Anzahl der infizierten Seiten innerhalb kürzester Zeit von knapp 92.000 Seiten (24.07.2011) auf über 3,4 Millionen Seiten (31.07.11) gestiegen. Aktuell gibt die Suchanfrage, die auf betroffene Seiten hindeutet, eine Anzahl von 5,1 Millionen Seiten an.

Die Sicherheitslücken in osCommerce sind bereits seit Erscheinen der Version 2.3 im November 2010 behoben. Aktuell stehen sowohl die Version 2.3.1 als auch 3.0.1 zum Download zur Verfügung. Daher gilt für Shopbetreiber, die auf die Open-Source Software setzen, dass sie nach Möglichkeit eine der aktuellen Versionen installieren und nicht dem gefährlichen Grundsatz „never change a running system“ folgen sollten.

Auf Endnutzerseite versucht der eingeschleuste Schadcode Lücken in Java, dem Adobe Reader, dem Windows Hilfecenter sowie dem Internet Explorer auszunutzen. Auch diese Lücken sind allesamt seit Langem geschlossen und stellen mithin für den Nutzer, der sein System regelmäßig updatet, keine Gefahr da. Windowsnutzern, andere Betriebssysteme sind nicht betroffen, ist daher zu raten, die automatische Updatefunktion des Betriebssystems zu nutzen, welche Microsoftprodukte auf dem neuesten Stand hält. Auch gängige Fremdanbieterprogramme, wie z.B. der Adobe Reader, lassen sich weitgehend automatisch und zentralisiert aktualisieren. Dazu ist jedoch die Installation einer Zusatzsoftware notwendig.

Update vom 16.08.11:

Nachdem wir bereits vor einiger Zeit über die gravierenden Sicherheitslücken in osCommerce berichtet haben, hat nun auch das Bundesamt für Sicherheit in der Informationstechnik auf die „massenhafte Kompromittierung von Online-Shops“ und den daraus resultierenden „akuten Handlungsbedarf“ hingewiesen. Dies bekräftigt einmal mehr, dass die Lücke nicht auf die leichte Schulter genommen werden sollte. (se)

Kategorien: Online-Datenschutz