aber dies werde ich so lange fortführen bis Ihr aufwacht!

Mein Beispiel ist natürlich offensichtlich eine Manipulation, aber was hält einen Kriminellen davon ab seine Scareware (de.wikipedia.org) über diese Lücke unters Volk zu bringen? NICHTS!

“Symantec: Cyberkriminelle verschrecken Nutzer, um ihnen dann gefälschte Sicherheitssoftware anzudrehen” (symantec.com)

München, 20. Oktober 2009 – Spiel mit der Angst um des Profits willen – Cyberkriminelle schüren die Furcht bei Anwendern vor einer Malware-Infektion und verleiten sie dadurch zum Kauf gefälschter oder bösartiger Sicherheitssoftware. Dies belegt der neue Symantec-Sicherheitsbericht, der Schadprogramme unter die Lupe nimmt, die sich als seriöse Sicherheitssoftware ausgeben. Diese gefälschten Programme bringen oft gar keinen Nutzen. Im Gegenteil – sie infizieren den Rechner unter Umständen mit neuem Schadcode. Die Daten für den aktuellen Report hat Symantec zwischen Juli 2008 und Juni 2009 erhoben.

Diese XSS-Lücke ist alt. Bereits im April letzten Jahres habe ich Symantec Hinweise dazu geschickt. Damals wurde auch dafür gesorgt, dass meine Beispiele nicht mehr funktionierten. Zwar kam keine Rückmeldung, aber die zeitliche Nähe zwischen meinen Hinweisen und dem Versuch die Lücke zu schließen lässt mich vermuten, dass meine Hinweise der Grund waren. Sollte dieser Versuch nur dafür sorgen dass ich Ruhe gebe? Da muss ich Symantec enttäuschen, ich werde nicht müde mit dem Finger so lange in der Wunde zu bohren, bis das Loch wirklich geschlossen wird.