Suchen

Mailzugriff per Cross-Site-Scripting Yahoo Mails für Angreifer lesbar

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Per Cross-Site-Scripting konnten sich Angreifer Zugriff auf Webmail-Accounts bei Yahoo verschaffen. Inzwischen ist die Lücke zwar geschlossen, allerdings ist es nicht das erste Mal, das solche Taktiken erfolgreich sind.

Firma zum Thema

Yahoo Webmail hatte eine Sicherheitslücke, per Cross-Site-Scripting konnten Angreifer (erneut) auf die Daten fremder Accounts zugreifen.
Yahoo Webmail hatte eine Sicherheitslücke, per Cross-Site-Scripting konnten Angreifer (erneut) auf die Daten fremder Accounts zugreifen.
(Bild: Yahoo)

Anfang Dezember Woche schloss Yahoo eine Sicherheitslücke in seinem Webmailer Yahoo Mail. Dieser ermöglichte es Angreifern, über eine manipulierte E-Mail Zugriff auf den Posteingang eines attackierten Accounts zu erhalten. Dazu musst der Opfer die E-Mail lediglich öffnen und ansehen. Da Yahoo keine Bereinigung des Inhalts vornahm, wurde sofort eine Cross-Site-Scripting-Attacke ausgeführt, die wiederum Zugriff auf das Konto ermöglichte.

Gefunden wurde die Schwachstellte von Forschern der finnischen Firma Klikki Oy entdeckt und Ende November an Yahoo gemeldet. Inzwischen wurde sie behoben, zumindest die aktuellen Proof-of-Concepts funktionieren nicht mehr.

Entdecker Jouko Pynnönen fand die Schwachstelle nach eigenen Angaben, indem er eine ganze Reihe von HTML-Attributen durch Yahoo-Mail fütterte. Das Ergebnis war wenig erfreulich: „Es ließen sich zahlreiche HTML-Attribute durch Yahoos Filtermechanismus schleusen und ausführen“, so Pynnönen. Er meldete die Ergebnisse an Yahoo, dort reagierte man entsprechend schnell und erweiterte die Filter.

Historie an XSS-Lücken

Es ist nicht das erste Mal, dass Yahoo durch XSS-Schwachstellen in seinem Webmailer in die Schlagzeilen gerät. Bereits 2013 wurde eine ähnliche Attacke demonstriert. Und im Januar 2016 gelang es ausgerechnet Kikkli eine ähnliche Sicherheitslücke in Yahoo nachzuweisen. Dazu kamen die negativen Nachrichten im Oktober, als bekannt wurde, dass Yahoo Millionen von E-Mails im Auftrag amerikanischer Behörden scannte.

(ID:44426642)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist