Yahoo hat eine kritische Sicherheitslücke in Yahoo Mail geschlossen, die es einem Angreifer erlaubte, auf Nachrichten beliebiger Nutzer zuzugreifen. Entdeckt wurde die Schwachstelle von Jouko Pynnönen, Gründer und CEO des finnischen Sicherheitsanbieters Klikki. Über das Prämienprogramm HackerOne kassierte er eine Belohnung von 10.000 Dollar.
Ein Hacker konnte demnach nicht nur Nachrichten eines Opfers lesen, sondern dessen Konto auch benutzen, um andere Yahoo-Mail-Konten zu infizieren. Ein Opfer musste er lediglich dazu verleiten, eine von ihm verschickte E-Mail zu öffnen. „Eine weitere Interaktion wie ein Klick auf einen Link oder das Öffnen eines Dateianhangs ist nicht erforderlich“, ergänzte der Forscher.
Schon Anfang des Jahres hatte Yahoo eine von Pynnönen entdeckte XSS-Lücke in Yahoo Mail geschlossen. „Die Auswirkungen sind die gleichen wie Anfang des Jahres“, so Pynnönen weiter. „Als Proof of Concept habe ich Yahoo Security eine E-Mail zur Verfügung gestellt, die, sobald geöffnet, AJAX nutzt, um den Inhalt des Posteingang des Nutzers zu lesen und an einem Server des Angreifers zu schicken.“
Yahoo filtert die für Pynnönens Angriff benötigten HTML-Nachrichten, um sicherzustellen, dass enthaltener Schadcode nicht bis zum Browser des Nutzers vordringt. Der Forscher stellte jedoch fest, dass die Filter nicht in der Lage waren, alle gefährlichen Datenattribute zu entfernen. Die von ihm präparierten Nachrichten führten deswegen zu einer automatischen Ausführung schädlichen JavaScript-Codes.
Details zu der Schwachstelle wurden über HackerOne am 12. November an Yahoo übermittelt. Das stopfte das Loch bereits am 29. November und stellte daraufhin die Belohnung von 10.000 Dollar zur Verfügung.
Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
