Yahoo: Angreifer konnten alle E-Mails von Nutzern mitlesen

Yahoo, Mail, Yahoo Mail Bildquelle: Yahoo
Beim Portalbetreiber Yahoo scheint man seit den letzten Sicherheitsproblemen eine neue Kultur der Offenheit pflegen zu wollen. So gab das Unternehmen jetzt bekannt, dass man eine schwerwiegende Lücke schließen konnte, die Angreifern Zugang zu E-Mail-Inhalten der Nutzer ermöglicht hätte.
Entdeckt wurde das Problem vom Sicherheitsforscher Jouko Pynnonen. Dieser übermittelte Yahoo die notwendigen Informationen, so dass der Fehler behoben werden konnte. Nach bisherigen Erkenntnissen wurde die Sicherheitslücke bisher nicht ausgenutzt. Yahoo belohnte Pynnonen über sein Bug Bounty-Programm mit einem Betrag von 10.000 Dollar.

Der Sicherheitsforscher zog in seinem Bericht über die Schwachstelle Parallelen zu Fehlern die schon in vorherigen Fällen Probleme verursacht hätten. Erneut bot sich hier die Möglichkeit, dass ein Angreifer über Cross-Site Scripting (XSS) erfolgreich sein konnte. Allerdings, so führte Pynnonen quasi zur Ehrenrettung Yahoos aus, sei der Bug nicht gerade einfach zu finden gewesen.

Fehler kaum zu finden

Hinter dem E-Mail-Service Yahoos laufen Filtersysteme, die Schadcode aus Nachrichten herausfiltern sollen. Allerdings schafften diese es nicht, alle potentiell gefährlichen Skripte zu erkennen und zu beseitigen. So gelang es ihm dann doch, JavaScript über eine E-Mail in den Browser eines Nutzers einzuschleusen, der dann beim Öffnen der Mitteilung ausgeführt wurde. Der Angreifer konnte sich dann so die Inhalte anderer E-Mails im Posteingang übermitteln lassen.

"Ich würde nicht gerade behaupten, dass es sich um einen Standard-Fehler handelt, und es ist nichts, was sich mit automatisierten Tools finden ließe", führte der Sicherheitsforscher aus. Wenn man allerdings erst einmal Kenntnis von der Funktionsweise hat, wäre es letztlich aber einfach gewesen, die Schwachstelle mit einem Exploit auszunutzen. Einen wirklichen Schutz vor solchen Problemen böte es letztlich nur, ausschließlich Plain-Text-E-Mails zuzulassen - doch diesen Weg will heute wohl niemand mehr gehen. Yahoo, Mail, Yahoo Mail Yahoo, Mail, Yahoo Mail Yahoo
Mehr zum Thema: Yahoo
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Yahoos Aktienkurs in Euro

Yahoo Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr : Acer WQHD Monitor: Acer WQHD Monitor
Original Amazon-Preis
309,00
Im Preisvergleich ab
243,54
Blitzangebot-Preis
249,00
Ersparnis zu Amazon 19% oder 60

Tipp einsenden