Angeblicher Merkel-Rücktritt Lücke in Website der Bundesregierung
Kanzlerin Angela Merkel (CDU) sieht sich derzeit heftiger Kritik ausgesetzt: Die einen werfen ihr Führungsschwäche vor. Die anderen, dass sie sich schon längst von den Zielen verabschiedet hätte, mit denen sie zur Bundestagswahl angetreten war.
Heute nun hätte die Kanzlerin sogar schon eine Meldung über ihren eigenen Rücktritt lesen können - und das ausgerechnet noch auf der offiziellen Seite der Bundesregierung und auf den Seiten des Deutschen Bundestags. Merkel hätte dazu nur einen der manipulierten Links anklicken müssen, die in der Blogosphäre kursieren, etwa im cBlog von Constantin Hofstetter .
Die Manipulation setzt einen entsprechenden Link zu bundestag.de oder bundesregierung.de voraus, in dem html- oder Script-Code versteckt ist. Wird dieser bösartige Code vom Server nicht als solcher erkannt, dann sind Meldungen wie jene vom angeblichen Rücktritt Merkels möglich.
Cross-Site-Scripting heißt die schon länger bekannte Methode, mit der sich unter anderem beliebige Texte in Webseiten einbauen lässt, sofern diese bestimmte Sicherheitslücken aufweisen. Die Texte werden allerdings nicht wirklich in die Seite eingebaut - dies geschieht nur im Browserfenster desjenigen, der einen präparierten Link anklickt.
Erst im Juli hatte der Sicherheitsexperte Yash Kadakia in seinem Blog vor ähnlichen Lücken bei den Portalen Internet.com, Amazon.com und MSN.com gewarnt und Screenshots mit manipulierten Inhalten veröffentlicht. Ein paar Tage später legte Psypointers Blog mit Hinweisen auf Lücken bei spd.de, t-mobile.de und bundesregierung.de nach . Unter anderem zeigte das Blog einen Screenshot der Regierungsseite mit dem Text "Steuerfreiheit für alle".
Die Cross-Site-Scripting-Lücke auf bundesregierung.de wurde mittlerweile offenbar geschlossen, wie heise online berichtet . Auf bundestag.de besteht die Lücke jedoch weiterhin.
hda
