Yahoo hat eine kritische Cross-Site-Scripting-Lücke (XSS) in seinem Webmail-Client geschlossen. Sie erlaubte es Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und ohne Einwilligung des Anwenders E-Mails weiterzuleiten oder zu versenden. Entdeckt hatte die Schwachstelle der finnische Sicherheitsforscher Jouko Pynnönen vom Security-Unternehmen Klikki, das in einem Blogbeitrag nun Informationen dazu veröffentlicht hat.
Durch sie ließ sich schädlicher JavaScript-Code in eine speziell formatierte E-Mail einbetten, der dann automatisch ausgeführt wurde, sobald ein Anwender die Nachricht öffnete. Klikki lieferte Yahoo auch eine Proof-of-Concept-E-Mail, die den Posteingang des Opfers an eine externe Website weiterleitete. Auf ähnliche Weise konnte ein E-Mail-Virus ein Yahoo-Mail-Konto infizieren und sich selbst an alle ausgehenden Nachrichten anhängen.
Wie die meisten E-Mail-Dienste heutzutage, zeigt auch Yahoo Mail Nachrichten im HTML-Format an, nachdem sie auf möglichen Schadcode untersucht wurden. Doch laut Klikki arbeiteten Yahoos Filter im geschilderten Fall nicht zuverlässig, so dass auf bestimmte Weise modifizierter HTML-Code sie umgehen konnte.
Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.
Per Brute-Force-Methode stellte Pynnönen fest, welche Elemente Yahoos Filter durchließen. Dazu erstellte er einfach eine E-Mail mit allen bekannten HTML-Tags sowie -Attributen und betrachtete die Nachricht anschließend in Yahoo Mail. Dabei kam heraus, dass Yahoos Filter bei bestimmten HTML-Attributen mit einem Wert zwar diesen Wert entfernten, aber nicht das vorangestellte Gleichheitszeichen. Dies ermöglichte im Anschluss das Einfügen eines uneingeschränkten HTML-Attributs in bestimmte Tags und somit die automatische Ausführung beliebigen JavaScript-Codes. Einen darauf basierenden Exploit für die Lücke demonstriert Klikki in einem Video:
Pynnönen hatte im vergangenen Jahr schon eine XSS-Schwachstelle in der Blogging-Software WordPress entdeckt, die kurze Zeit später beseitigt wurde. Angreifer konnten sie ausnutzen, um über ein Kommentarfeld einer Website schädlichen JavaScript-Code zu injizieren. Mittels eines Cross-Site-Scripting-Angriffs war es so möglich, Nutzerdaten zu stehlen.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…