Alvorligt sikkerhedshul: Webbutikker kan være i fare

Webbutikker kan rammes af en alvorlig sikkerhedsfejl. Hackere kan opnå administratorrettigheder blot ved at registrere sig som kunder. Firmaet bag systemet har kendt til fejlen i to måneder.

Netbutikker verden over kan blive ramt af svindlere, der udnytter en svaghed i onlinehandelsplatformen Magento, rapporterer Ars Technica.

Problemet, som blev opdaget af sikkerhedsfirmaet Sucuri, ligger i en cross-site scripting fejl (XSS), som lader udefrakommende tilføje script til netbutikker, som kører Magento enterprise edition eller Comunity edition.

Luskede typer kan nemlig tilføje et Javascript, når de registrerer sig som kunder i netbutikkerne. Magento eksekverer scriptet og vupti, så kan man overtage netbutikkens server.

"Angribere kan bruge den her svaghed til at overtage din hjemmeside, oprette administratorkonti, stjæle kundedata, alt hvad en reel administrator har lov til at gøre," forklarer vulnerability researcher hos Sucuri, Marc-Alexandre Montpas, på Sucuris hjemmeside.

To måneder uden en rettelse
Selvom der er tale om en alvorlig fejl, som potentielt kan påvirke millioner af netbutikker, havde Magento tilsyneladende ikke travlt med at rette den.

Sucuri opdagede fejlen 10. november sidste år og meldte den straks til Magento.

Men der måtte næsten en måned og en rykker til, før Magento overhovedet anerkendte, at firmaet havde modtaget advarslen, og først 20. januar var Magento klar med et patch, forklarer Sucuri.

Sådan løser du problemet
Nu hvor Magento har udgivet et patch, er problemet heldigvis hurtigt løst. Men hvis du bruger en version af Magento, der er ældre end Enterpise 1.14.2.3 eller Community 1.9.2.3, skal du skynde dig at opdatere.

Og så kan du for resten trøste dig med, at du er i godt selskab.

Magento bryster sig nemlig af sine berømte kunder. Og det er ikke amatører, der sælger hjemmehæklede sokker fra dagligstuen, men giganter som Nike og Olympus, som bruger Magentos platform.

Det kan man se på Magentos hjemmeside, som pudsigt nok ikke gør et større nummer ud af det nyeste patch.

Læs også: Alle danske webbutikker skal linke til dette site om en måned



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Konsulentydelser, soft- og hardware inden for virtualisering, deployment, systems management, server/storage, køling, sikkerhed, backup, remote backup

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
It-sikkerhed 2017: De nye trusler - og dit næste modtræk

Vi tager pulsen på den aktuelle it-sikkerhedssituation ved at gå i dybden med de nyeste trusler og give til inspiration til dine nødvendige modtræk. Der er masser at skulle forholde sig til som it-ansvarlig. Men har du forstået de reelle trusler, og prioriterer du sikkerhedsindsatsen på den mest hensigtsmæssige måde?

24. januar 2017 | Læs mere


It-sikkerhed 2017: De nye trusler - og dit næste modtræk

Vi tager pulsen på den aktuelle it-sikkerhedssituation ved at gå i dybden med de nyeste trusler og give til inspiration til dine nødvendige modtræk. Der er masser at skulle forholde sig til som it-ansvarlig. Men har du forstået de reelle trusler, og prioriterer du sikkerhedsindsatsen på den mest hensigtsmæssige måde?

26. januar 2017 | Læs mere


Customer Relationship Management (CRM)

CRM er stort set blevet en standard i danske virksomheder. Der stilles stigende krav til sikkerheden når værdifulde informationer om virksomhedens væsentligste aktiv - kunderne - skal sikres, deles og gemmes, og netop sikkerheden i den web-baserede løsning kan virke uoverskuelig. Hør mere om hvordan bringer du dig i front med CRM, og hvordan får du størst muligt afkast af din CRM-investering.

31. januar 2017 | Læs mere






Computerworld
Advarer om phishing-angreb: Pas på hvis du modtager denne PDF
En phishing-mail med en vedhæftet PDF er i øjeblikket på spil. Phishing-angrebet forsøger at narre modtagerne til at udlevere login-oplysninger.
CIO
2017 bliver et år, som man kommer til at skrive om i historiebøgerne: Nu kommer skiftet fra digitalisering til digital økonomi
Klumme: "I Danmark vil vi nu se et fokusskifte i ledelsesdiskussionen - ikke til digitalisering eller teknologibegejstring og -skepsis men til håndtering af en datadrevet virkelighed. For chefen gælder det nu: Op på ølkassen eller ud ad vagten.
Comon
Undgå passwordet: Smart tilbehør til at låse og åbne din computer med Windows Hello
Windows Hello kan mere end blot låse din computer op med dit ansigt. Der findes en lang række muligheder af tilbehør, som kan være med til at sikre din computer mod indtrængere. Se fem af dem her.
Channelworld
Ny EG-direktør har en plan: Sådan skal EG vokse sig større og endnu mere profitabel
Interview: Mikkel Bardram er ny administrerende direktør i EG. Selvom EG nu har 2.000 ansatte og en omsætning på 1,8 milliarder kroner, er der potentiale for endnu mere, mener den nye direktør.
White paper
Microsoft Dynamics AX7 på 10 uger (Dynamics 365 for Operations)
Skal man tænke traditionelt, når man skal bygge et forretningssystem der kan drive og udvikle hvor det gælder om at være agil med stor omstillingsparathed, og hvor kravet til processer bliver større og større ?? Bliv klogere i dette white paper.