"Die freie Lernplattform Moodle wies über Jahre eine Sicherheitslücke auf, mit der Schüler unter anderem ihre Noten manipulieren konnten.
Der IT-Sicherheitsexperte Ata Hakcil des Unternehmens Wizcase hat in der Software der weit verbreiteten Lernplattform Moodle eine schwerwiegende Schwachstelle aufgedeckt. Die seit 2014 bestehende Sicherheitslücke ermöglichte es Schülern und Studenten zumindest theoretisch, unbemerkt fremde Accounts zu kapern und so unter anderem ihre eigenen Schulnoten zu manipulieren. 

Moodle ist ein 2002 veröffentlichtes, freies und individuell anpassbares Kursmanagementsystem auf PHP-Basis. Wie Spiegel.de berichtet, sind allein in Deutschland 9.200 unterschiedliche Installationen der Open-Source-Software bei diversen Bildungseinrichtungen im Einsatz. Weltweit verzeichnet die Lernplattform über 200 Millionen Nutzer. Denen wäre es über Jahre hinweg mit wenig Aufwand möglich gewesen, Programmbefehle auf fremden Rechnern auszuführen.

Möglich machte das ein Programmfehler in der 2014 veröffentlichten Version 2.8. Weil Sonderzeichen und mathematische Formeln in dieser nicht korrekt codiert wurden, ließen sich Programmbefehle über den in Moodle integrierten Textchat versenden und auf den Rechnern der Empfänger ausführen. Mit den entsprechenden Kenntnissen wäre es Angreifern so unter anderem möglich gewesen, unbemerkt und ohne viel Aufwand Lehrer- und Administratoren-Accounts zu übernehmen.

Vielfältige Missbrauchsmöglichkeiten
Die Liste der Missbrauchsmöglichkeiten ist laut Hakcil lang. Neben der gezielten Manipulation von Schulnoten hätten Schüler und Studenten Testaufgaben vorab einsehen, Schulaufgaben kopieren und Nachrichten in fremdem Namen versenden können. Ob es tatsächlich jemals zum Missbrauch der Schwachstelle kam, ist nicht bekannt..."

Zum Artikel auf golem.de.