Security: XSS-Lücke in Yahoo-Mail gefixt

Eine XSS-Lücke in Yahoo-Mail ermöglichte es Angreifern, fremde Accounts zu übernehmen. Sie hätten alle E-Mails der Nutzer weiterleiten und ausgehende E-Mails mit Viren infizieren können, schreibt ein Sicherheitsforscher. Yahoo hat bereits reagiert.

Artikel veröffentlicht am ,
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen.
Yahoo hat eine Sicherheitslücke in seinem Webmailer geschlossen. (Bild: Screenshot:Golem.de)

Yahoo hat eine Sicherheitslücke in seinem E-Mail-Dienst behoben. Der Sicherheitsforscher Jouko Pynnönen hatte dem Unternehmen nach eigenen Angaben einen Proof-of-Concept geschickt, der es ermöglichte, E-Mails von Yahoo-Nutzern ohne deren Wissen weiterzuleiten. Außerdem sei es möglich gewesen, ausgehende Mails mit Viren zu infizieren, schreibt Pynnönen in einem Blogpost. Es soll keine aktiv ausgenutzten Exploits gegeben haben. Betroffen waren der Webmailer von Yahoo, nicht aber die Apps des Unternehmens.

Der Code-Filter lässt Reste zurück

Stellenmarkt
  1. Senior Security Engineer (m/w/d) - Schwerpunkt Windows Server und Active Directory
    Radeberger Gruppe KG, verschiedene Standorte
  2. Kaufmännischer Sachbearbeiter (m/w/d) im Bereich Datenpflege
    Königsteiner Services GmbH, Stuttgart
Detailsuche

Das Problem liegt in der Art und Weise, wie der Webmailer möglicherweise bösartige Code-Fragmente verarbeitet. Um herauszufinden, welcher Code Probleme bereiten könnte, erstellte Pynnönen eine E-Mail mit allen bekannten HTML-Tags. Zwar funktioniere die Technik relativ gut, es blieben aber Reste fehlerhaften Codes zurück - das könnten Angreifer ausnutzen, um präparierte Botschaften zu versenden. Als Beispiel zeigt er, dass die Eingabe INPUT TYPE="checkbox" CHECKED="hello" NAME="check box" in INPUT TYPE="checkbox" CHECKED= NAME="check box" umgewandelt würde (Spitze Klammern aus Rücksicht auf unser Redaktionssystem entfernt).

Angreifer könnten mit einer entsprechend präparierten E-Mail ein IMG-Tag erstellen, das den ganzen Bildschirm füllt. Mit dem Onmouseover-Attribut übergebener Java-Script-Code würde dann sofort ausgeführt. In einem Demo-Video zeigt Pynnönen, wie er ausgehenden E-Mails automatisch eine Signatur mit Video hinzufügt, obwohl diese eigentlich deaktiviert sind. Die Sicherheitslücke wurde nach Angaben von Pynnönen am 26. Dezember vergangenen Jahres über die Plattform von Hacker One an Yahoo gemeldet. Das Unternehmen hat einen Bug-Bounty von 10.000 US-Dollar ausgezahlt und will die Schwachstelle am 6. Januar dieses Jahres geschlossen haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernsehen
Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung

Satelliten-Fernsehen ist die beste Möglichkeit, sich eine private Film- und Seriendatenbank aufzubauen. Wir zeigen, welche Technik gebraucht und wie sie eingerichtet wird.
Eine Anleitung von Mathias Küfner

Fernsehen: Mit Satelliten-TV, Kodi und Ethernet zur Videosammlung
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. FTTH: Deutsche Telekom kündigt weitere Glasfaserstadt an
    FTTH
    Deutsche Telekom kündigt weitere Glasfaserstadt an

    Mit Nürnberg kündigt die Telekom eine weitere Glasfaserstadt an. Der Ausbau im Großraum der Stadt soll eine halbe Milliarde Euro kosten.

  3. Missbrauchs-Vorwürfe: SpaceX zahlte 250.000 US-Dollar Abfindung
    Missbrauchs-Vorwürfe
    SpaceX zahlte 250.000 US-Dollar Abfindung

    Elon Musk soll einer Flugbegleiterin Geld für Sex angeboten haben. SpaceX zahlte für eine Geheimhaltungsvereinbarung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /