Abo
  • Services:
Anzeige
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen.
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen. (Bild: Screenshot:Golem.de)

Security: XSS-Lücke in Yahoo-Mail gefixt

Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen.
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen. (Bild: Screenshot:Golem.de)

Eine XSS-Lücke in Yahoo-Mail ermöglichte es Angreifern, fremde Accounts zu übernehmen. Sie hätten alle E-Mails der Nutzer weiterleiten und ausgehende E-Mails mit Viren infizieren können, schreibt ein Sicherheitsforscher. Yahoo hat bereits reagiert.

Yahoo hat eine Sicherheitslücke in seinem E-Mail-Dienst behoben. Der Sicherheitsforscher Jouko Pynnönen hatte dem Unternehmen nach eigenen Angaben einen Proof-of-Concept geschickt, der es ermöglichte, E-Mails von Yahoo-Nutzern ohne deren Wissen weiterzuleiten. Außerdem sei es möglich gewesen, ausgehende Mails mit Viren zu infizieren, schreibt Pynnönen in einem Blogpost. Es soll keine aktiv ausgenutzten Exploits gegeben haben. Betroffen waren der Webmailer von Yahoo, nicht aber die Apps des Unternehmens.

Anzeige

Der Code-Filter lässt Reste zurück

Das Problem liegt in der Art und Weise, wie der Webmailer möglicherweise bösartige Code-Fragmente verarbeitet. Um herauszufinden, welcher Code Probleme bereiten könnte, erstellte Pynnönen eine E-Mail mit allen bekannten HTML-Tags. Zwar funktioniere die Technik relativ gut, es blieben aber Reste fehlerhaften Codes zurück - das könnten Angreifer ausnutzen, um präparierte Botschaften zu versenden. Als Beispiel zeigt er, dass die Eingabe INPUT TYPE="checkbox" CHECKED="hello" NAME="check box" in INPUT TYPE="checkbox" CHECKED= NAME="check box" umgewandelt würde (Spitze Klammern aus Rücksicht auf unser Redaktionssystem entfernt).

Angreifer könnten mit einer entsprechend präparierten E-Mail ein IMG-Tag erstellen, das den ganzen Bildschirm füllt. Mit dem Onmouseover-Attribut übergebener Java-Script-Code würde dann sofort ausgeführt. In einem Demo-Video zeigt Pynnönen, wie er ausgehenden E-Mails automatisch eine Signatur mit Video hinzufügt, obwohl diese eigentlich deaktiviert sind. Die Sicherheitslücke wurde nach Angaben von Pynnönen am 26. Dezember vergangenen Jahres über die Plattform von Hacker One an Yahoo gemeldet. Das Unternehmen hat einen Bug-Bounty von 10.000 US-Dollar ausgezahlt und will die Schwachstelle am 6. Januar dieses Jahres geschlossen haben.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München
  2. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  3. über Robert Half Technology, Gießen
  4. SEAP Automation GmbH, Egelsbach


Anzeige
Spiele-Angebote
  1. 49,99€ (Vorbesteller-Preisgarantie)
  2. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)
  3. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Tipps für IT-Engagement in Fernost


  1. Windows 10 Anniversary Update

    Cortana wird zur alleinigen Suchfunktion

  2. Quartalsbericht

    Amazon schwimmt im Geld

  3. Software

    Oracle kauft Netsuite für 9,3 Milliarden US-Dollar

  4. Innovation Train

    Deutsche Bahn kooperiert mit Hyperloop

  5. International E-Sport Federation

    Alibaba steckt 150 Millionen US-Dollar in E-Sport

  6. Kartendienst

    Daimler-Entwickler Herrtwich übernimmt Auto-Bereich von Here

  7. Killerspiel-Debatte

    ProSieben Maxx stoppt Übertragungen von Counter-Strike

  8. Mehr Breitband für mich (MBfm)

    Telekom-FTTH kostet über 250.000 Euro

  9. Zuckerbergs Plan geht auf

    Facebook strotzt vor Kraft und Geld

  10. Headlander im Kurztest

    Galaktisches Abenteuer mit Köpfchen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Huawei Matebook im Test: Guter Laptop-Ersatz mit zu starker Konkurrenz
Huawei Matebook im Test
Guter Laptop-Ersatz mit zu starker Konkurrenz
  1. Netze Huawei steigert Umsatz stark
  2. Huawei Österreich führt Hybridtechnik ein
  3. Huawei Deutsche Telekom testet LTE-V auf der A9

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte

  1. Re: Mit anderen Worten...

    amagol | 02:02

  2. Re: Wer würde 1,56 $ (1,40¤) pro Monat zahlen für...

    amagol | 01:55

  3. Re: Spinnt MA denn vollkommen?

    Wallbreaker | 01:44

  4. Re: Dumme Frage: Was zählt zum Begriff...

    Mephir | 01:40

  5. Re: W10 Sharewarepark

    Wallbreaker | 01:38


  1. 23:26

  2. 22:58

  3. 22:43

  4. 18:45

  5. 17:23

  6. 15:58

  7. 15:42

  8. 15:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel