News 20.01.2016, 09:12 Uhr

Cross-Site-Scripting-Lücke in Yahoo Webmail

Ein kritischer XSS-Bug im Webmail-Client von Yahoo erlaubte Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und E-Mails zu versenden.
Yahoos Webmail-Client war von einem kritischen XSS-Bug (Cross-Site-Scripting) betroffen. Entdeckt hatte den Fehler der finnische Sicherheitsforscher Jouko Pynnönen - ihm gelang es, schädlichen JavaScript-Code über eine manipulierte E-Mail zu verbreiten. Sobald ein Nutzer die manipulierte E-Mail aufruft, werde der Schadcode ausgeführt. Angreifer könnten dadurch etwa das Konto des Nutzers übernehmen, Einstellungen ändern oder E-Mails versenden.
Normalerweise sollte Yahoo Mail den Schadcode automatisch ausfiltern bevor die E-Mail dargestellt wird. Allerdings arbeiteten diese Filter nicht ganz fehlerfrei. Pynnönen entdeckte die Lücke über eine simple Brute-Force-Methode, indem er eine E-Mail mit allen bekannten HTML Tags und Attributen versendete. Im Anschluss überprüfte Pynnönen, welche Elemente von Yahoos Filtern durchgelassen wurden. Die genaue Funktionsweise der XSS-Sicherheitslücke zeigt folgendes Video:

Yahoo reagiert schnell

Pynnönen hatte den Fehler am 26. Dezember 2015 an Yahoo weitergeleitet, bereits am 6. Januar 2016 wurde der Bug dann gefixt. Zu einem Missbrauch der Sicherheitslücke soll es nicht gekommen sein. Yahoo belohnte den Sicherheitsforscher mit einer Bug-Bounty in Höhe von 10.000 US-Dollar für die Entdeckung des Fehlers.



Kommentare
Es sind keine Kommentare vorhanden.