X

Yahoo: Angreifer konnten alle E-Mails von Nutzern mitlesen

Beim Portalbetreiber Yahoo scheint man seit den letzten Sicherheitsproblemen eine neue Kultur der Offenheit pflegen zu wollen. So gab das Unternehmen jetzt bekannt, dass man eine schwerwiegende Lücke schließen konnte, die Angreifern Zugang zu E-Mail-Inhalten der Nutzer ermöglicht hätte.
Yahoo
09.12.2016  10:16 Uhr
Entdeckt wurde das Problem vom Sicherheitsforscher Jouko Pynnonen. Dieser übermittelte Yahoo die notwendigen Informationen, so dass der Fehler behoben werden konnte. Nach bisherigen Erkenntnissen wurde die Sicherheitslücke bisher nicht ausgenutzt. Yahoo belohnte Pynnonen über sein Bug Bounty-Programm mit einem Betrag von 10.000 Dollar. Der Sicherheitsforscher zog in seinem Bericht über die Schwachstelle Parallelen zu Fehlern die schon in vorherigen Fällen Probleme verursacht hätten. Erneut bot sich hier die Möglichkeit, dass ein Angreifer über Cross-Site Scripting (XSS) erfolgreich sein konnte. Allerdings, so führte Pynnonen quasi zur Ehrenrettung Yahoos aus, sei der Bug nicht gerade einfach zu finden gewesen.

Fehler kaum zu finden

Hinter dem E-Mail-Service Yahoos laufen Filtersysteme, die Schadcode aus Nachrichten herausfiltern sollen. Allerdings schafften diese es nicht, alle potentiell gefährlichen Skripte zu erkennen und zu beseitigen. So gelang es ihm dann doch, JavaScript über eine E-Mail in den Browser eines Nutzers einzuschleusen, der dann beim Öffnen der Mitteilung ausgeführt wurde. Der Angreifer konnte sich dann so die Inhalte anderer E-Mails im Posteingang übermitteln lassen.

"Ich würde nicht gerade behaupten, dass es sich um einen Standard-Fehler handelt, und es ist nichts, was sich mit automatisierten Tools finden ließe", führte der Sicherheitsforscher aus. Wenn man allerdings erst einmal Kenntnis von der Funktionsweise hat, wäre es letztlich aber einfach gewesen, die Schwachstelle mit einem Exploit auszunutzen. Einen wirklichen Schutz vor solchen Problemen böte es letztlich nur, ausschließlich Plain-Text-E-Mails zuzulassen - doch diesen Weg will heute wohl niemand mehr gehen.
Verwandte Themen
Yahoo
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture