Sicherheitslücke in Yahoo Mail entdeckt und bereits geschlossen

In Yahoo Mail hatte es eine Sicherheitslücke gegeben, durch welche Angreifer E-Mails der Nutzer lesen konnten. Offenbar wurde das Problem bereits behoben. Laut eigenen Angaben hat Yahoo die Lücke bereits geschlossen.

Entdeckt wurde die Schwachstelle vom Gründer und CEO des finnischen Sicherheitsanbieters Klikki, Jouko Pynnönen. Für seine Leistung erhielt der Unternehmer und IT-Experte eine Prämie von 10.000 US-Dollar.

Pynnönen klassifiziert die Sicherheitslücke in einem Blog als Cross-Site-Scripting-Lücke (XSS). Zwar sei es sehr schwer gewesen, den Bug ausfindig zu machen, dafür sei es umso leichter, diesen auszunutzen. „Es ist kein grundlegender Fehler und es ist auch nichts, was man mit automatischen Tools oder Scannern finden kann“, so Pynnönen.

Yahoo: Werbeanzeigen verbreiteten Malware

Durch die Schwachstelle konnten Hacker nicht nur Nachrichten lesen, sondern auch die Konten der Nutzer verwenden, um andere Yahoo-Mail-Konten zu infizieren. Dazu brauchte das Opfer nur, eine von den Cyberkriminellen verschickte E-Mail zu öffnen. „Eine weitere Interaktion wie ein Klick auf einen Link oder das Öffnen eines Dateianhangs ist nicht erforderlich“, ergänzte der Forscher.

Schon Anfang des Jahres hatte Yahoo eine von Pynnönen entdeckte XSS-Lücke in Yahoo Mail geschlossen. „Die Auswirkungen sind die gleichen wie Anfang des Jahres“, so Pynnönen weiter. „Als Proof of Concept habe ich Yahoo Security eine E-Mail zur Verfügung gestellt, die, sobald geöffnet, AJAX nutzt, um den Inhalt des Posteingang des Nutzers zu lesen und an einem Server des Angreifers zu schicken.“

Durch Manipulation zum Hack-Erfolg

Yahoo filtert die für Pynnönens Angriff benötigten HTML-Nachrichten, um sicherzustellen, dass enthaltener Schadcode nicht bis zum Browser des Nutzers vordringt. Der Forscher stellte jedoch fest, dass die Filter nicht in der Lage waren, alle gefährlichen Datenattribute zu entfernen. Die von ihm präparierten Nachrichten führten deswegen zu einer automatischen Ausführung schädlichen JavaScript-Codes.

Details zu der Schwachstelle wurden über HackerOne am 12. November an Yahoo übermittelt. Das stopfte das Loch bereits am 29. November und stellte daraufhin die Belohnung von 10.000 Dollar zur Verfügung.

[mit Material von Andreas Donath, Übergizmo.de]

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitslücke in Yahoo Mail entdeckt und bereits geschlossen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *