Abo
  • Services:
Anzeige
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen.
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen. (Bild: Screenshot:Golem.de)

Security: XSS-Lücke in Yahoo-Mail gefixt

Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen.
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen. (Bild: Screenshot:Golem.de)

Eine XSS-Lücke in Yahoo-Mail ermöglichte es Angreifern, fremde Accounts zu übernehmen. Sie hätten alle E-Mails der Nutzer weiterleiten und ausgehende E-Mails mit Viren infizieren können, schreibt ein Sicherheitsforscher. Yahoo hat bereits reagiert.

Yahoo hat eine Sicherheitslücke in seinem E-Mail-Dienst behoben. Der Sicherheitsforscher Jouko Pynnönen hatte dem Unternehmen nach eigenen Angaben einen Proof-of-Concept geschickt, der es ermöglichte, E-Mails von Yahoo-Nutzern ohne deren Wissen weiterzuleiten. Außerdem sei es möglich gewesen, ausgehende Mails mit Viren zu infizieren, schreibt Pynnönen in einem Blogpost. Es soll keine aktiv ausgenutzten Exploits gegeben haben. Betroffen waren der Webmailer von Yahoo, nicht aber die Apps des Unternehmens.

Anzeige

Der Code-Filter lässt Reste zurück

Das Problem liegt in der Art und Weise, wie der Webmailer möglicherweise bösartige Code-Fragmente verarbeitet. Um herauszufinden, welcher Code Probleme bereiten könnte, erstellte Pynnönen eine E-Mail mit allen bekannten HTML-Tags. Zwar funktioniere die Technik relativ gut, es blieben aber Reste fehlerhaften Codes zurück - das könnten Angreifer ausnutzen, um präparierte Botschaften zu versenden. Als Beispiel zeigt er, dass die Eingabe INPUT TYPE="checkbox" CHECKED="hello" NAME="check box" in INPUT TYPE="checkbox" CHECKED= NAME="check box" umgewandelt würde (Spitze Klammern aus Rücksicht auf unser Redaktionssystem entfernt).

Angreifer könnten mit einer entsprechend präparierten E-Mail ein IMG-Tag erstellen, das den ganzen Bildschirm füllt. Mit dem Onmouseover-Attribut übergebener Java-Script-Code würde dann sofort ausgeführt. In einem Demo-Video zeigt Pynnönen, wie er ausgehenden E-Mails automatisch eine Signatur mit Video hinzufügt, obwohl diese eigentlich deaktiviert sind. Die Sicherheitslücke wurde nach Angaben von Pynnönen am 26. Dezember vergangenen Jahres über die Plattform von Hacker One an Yahoo gemeldet. Das Unternehmen hat einen Bug-Bounty von 10.000 US-Dollar ausgezahlt und will die Schwachstelle am 6. Januar dieses Jahres geschlossen haben.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Hemmersbach GmbH & Co. KG, Nürnberg
  2. T-Systems International GmbH, Darmstadt
  3. über OPTARES GmbH & Co. KG, Großraum München
  4. Deutsche Rückversicherung AG Verband öffentlicher Versicherer, Düsseldorf


Anzeige
Top-Angebote
  1. 399,00€ (Gutscheincode: HONOR8)
  2. 69,95€
  3. 44,00€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
­Cybersyn: Chiles Traum von der computergesteuerten Planwirtschaft
­Cybersyn
Chiles Traum von der computergesteuerten Planwirtschaft
  1. Power9 IBMs 24-Kern-Chip kann 8 TByte RAM pro Sockel nutzen
  2. Princeton Piton Open-Source-Chip soll System mit 200.000 Kernen ermöglichen
  3. Adecco IBM will Helpdesk-Geschäft in Erfurt und Leipzig loswerden

Thinkpad X1 Carbon 2013 vs 2016: Drei Jahre, zwei Ultrabooks, eine Erkenntnis
Thinkpad X1 Carbon 2013 vs 2016
Drei Jahre, zwei Ultrabooks, eine Erkenntnis
  1. Huawei Matebook im Test Guter Laptop-Ersatz mit zu starker Konkurrenz
  2. iPad Pro Case Razer zeigt flache mechanische Switches
  3. Thinkpwn Lenovo warnt vor mysteriöser Bios-Schwachstelle

Asus PG248Q im Test: 180 Hertz erkannt, 180 Hertz gebannt
Asus PG248Q im Test
180 Hertz erkannt, 180 Hertz gebannt
  1. Raspberry Pi 3 Booten über USB oder per Ethernet
  2. Autonomes Fahren Mercedes stoppt Werbespot wegen überzogener Versprechen
  3. Radeon RX 480 Dank DX12 und Vulkan reicht auch eine Mittelklasse-CPU

  1. Re: Wenn wir jetzt noch den Faktor "bei gleicher...

    cherubium | 01:58

  2. Re: Die werden ihn wohl ausliefern

    Danijoo | 01:57

  3. Re: 30 Stunden auf Abruf ?!?

    DrWatson | 01:36

  4. Re: Wozu?

    Tamarrah | 01:22

  5. Re: Darf Russland den Dotcom auch verhaften?

    lear | 01:13


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel