Ein Sicherheitsunternehmen sollte mit Meldungen über Sicherheitlücken sehr behutsam umgehen. Könnte man denken. Dachte sich auch Aria Akhavan – ein Internetexperte aus Wien. Und deshalb meldete er sich bei Avast – in Fachkreisen wird das Mitteilen von Sicherheitslücken „reporten“ genannt.
Vor zwei oder drei Wochen – es ist schon etwas länger her – habe ich denen eine E-Mail geschickt, und habe reportet, dass eine Lücke existiert.
Aria Akhavan bekam eine Mail zurück, dass er diesen Fehler einer falschen Stelle gemeldet habe. Eine weitere Reaktion folgte nicht.
Und dabei ist der Fehler gravierend.
Mit dieser Lücke könnte man verschiedene Serverbefehle ausführen. Man könnte theoretisch Seiten einfügen, die einen Code beinhalten. Diesen Code würde der Server von Avast dann sofort ausführen.
Ganz praktisch zeigt Aria Akhavan dann, wie es geht – mit drei eigentlich harmlosen Befehlen. Der Avast-Server bekommt von ihm den Befehl eine Testseite im Internet zu besuchen. Diese Testseite leitet dann zu einer zweiten Testseite um und die dann wieder zurück auf die erste Testseite. Eine unendliche Geschichte, wenn niemand den Server dabei unterbricht – so könnte der Avast-Server lahmgelegt werden.
MDR INFO liegt das Protokoll des Testservers vor: Innerhalb von einer Sekunde verzeichnet es 20 Aufrufe der beiden präparierten Seiten durch avast.com. Sicherheitshalber untersuchte auch ein zweiter Internetexperte den Vorgang und bestätigte die Sicherheitslücke.
Auf diese Art und Weise lassen sich allerdings auch fremde Server angreifen – dann ist die Sicherheitslücke plötzlich gar nicht mehr so harmlos.
Doch Avast lässt per E-Mail mitteilen
Dem Screenshot nach zu urteilen ist es ausgeschlossen, dass die Aussage der Person, die Ihnen das reportet hat, korrekt sein kann. Daher gäbe es auch in einem Radiointerview darüber nichts zu berichten.
Beide Internetexperten bleiben dagegen bei ihren Aussagen und empfehlen Avast dringend, die Lücke zu schließen. Dies sei nicht weiter kompliziert.
