Yahoo hat eine kritische Cross-Site-Scripting-Lücke (XSS) in seinem Webmail-Client geschlossen. Sie erlaubte es Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und ohne Einwilligung des Anwenders E-Mails weiterzuleiten oder zu versenden. Entdeckt hatte die Schwachstelle der finnische Sicherheitsforscher Jouko Pynnönen vom Security-Unternehmen Klikki, das in einem Blogbeitrag nun Informationen dazu veröffentlicht hat.
Durch sie ließ sich schädlicher JavaScript-Code in eine speziell formatierte E-Mail einbetten, der dann automatisch ausgeführt wurde, sobald ein Anwender die Nachricht öffnete. Klikki lieferte Yahoo auch eine Proof-of-Concept-E-Mail, die den Posteingang des Opfers an eine externe Website weiterleitete. Auf ähnliche Weise konnte ein E-Mail-Virus ein Yahoo-Mail-Konto infizieren und sich selbst an alle ausgehenden Nachrichten anhängen.
Wie die meisten E-Mail-Dienste heutzutage, zeigt auch Yahoo Mail Nachrichten im HTML-Format an, nachdem sie auf möglichen Schadcode untersucht wurden. Doch laut Klikki arbeiteten Yahoos Filter im geschilderten Fall nicht zuverlässig, so dass auf bestimmte Weise modifizierter HTML-Code sie umgehen konnte.
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Per Brute-Force-Methode stellte Pynnönen fest, welche Elemente Yahoos Filter durchließen. Dazu erstellte er einfach eine E-Mail mit allen bekannten HTML-Tags sowie -Attributen und betrachtete die Nachricht anschließend in Yahoo Mail. Dabei kam heraus, dass Yahoos Filter bei bestimmten HTML-Attributen mit einem Wert zwar diesen Wert entfernten, aber nicht das vorangestellte Gleichheitszeichen. Dies ermöglichte im Anschluss das Einfügen eines uneingeschränkten HTML-Attributs in bestimmte Tags und somit die automatische Ausführung beliebigen JavaScript-Codes. Einen darauf basierenden Exploit für die Lücke demonstriert Klikki in einem Video:
Pynnönen hatte im vergangenen Jahr schon eine XSS-Schwachstelle in der Blogging-Software WordPress entdeckt, die kurze Zeit später beseitigt wurde. Angreifer konnten sie ausnutzen, um über ein Kommentarfeld einer Website schädlichen JavaScript-Code zu injizieren. Mittels eines Cross-Site-Scripting-Angriffs war es so möglich, Nutzerdaten zu stehlen.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.
