Mailzugriff per Cross-Site-Scripting

Yahoo Mails für Angreifer lesbar

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Yahoo Webmail hatte eine Sicherheitslücke, per Cross-Site-Scripting konnten Angreifer (erneut) auf die Daten fremder Accounts zugreifen.
Yahoo Webmail hatte eine Sicherheitslücke, per Cross-Site-Scripting konnten Angreifer (erneut) auf die Daten fremder Accounts zugreifen. (Bild: Yahoo)

Per Cross-Site-Scripting konnten sich Angreifer Zugriff auf Webmail-Accounts bei Yahoo verschaffen. Inzwischen ist die Lücke zwar geschlossen, allerdings ist es nicht das erste Mal, das solche Taktiken erfolgreich sind.

Anfang Dezember Woche schloss Yahoo eine Sicherheitslücke in seinem Webmailer Yahoo Mail. Dieser ermöglichte es Angreifern, über eine manipulierte E-Mail Zugriff auf den Posteingang eines attackierten Accounts zu erhalten. Dazu musst der Opfer die E-Mail lediglich öffnen und ansehen. Da Yahoo keine Bereinigung des Inhalts vornahm, wurde sofort eine Cross-Site-Scripting-Attacke ausgeführt, die wiederum Zugriff auf das Konto ermöglichte.

Gefunden wurde die Schwachstellte von Forschern der finnischen Firma Klikki Oy entdeckt und Ende November an Yahoo gemeldet. Inzwischen wurde sie behoben, zumindest die aktuellen Proof-of-Concepts funktionieren nicht mehr.

Entdecker Jouko Pynnönen fand die Schwachstelle nach eigenen Angaben, indem er eine ganze Reihe von HTML-Attributen durch Yahoo-Mail fütterte. Das Ergebnis war wenig erfreulich: „Es ließen sich zahlreiche HTML-Attribute durch Yahoos Filtermechanismus schleusen und ausführen“, so Pynnönen. Er meldete die Ergebnisse an Yahoo, dort reagierte man entsprechend schnell und erweiterte die Filter.

Historie an XSS-Lücken

Es ist nicht das erste Mal, dass Yahoo durch XSS-Schwachstellen in seinem Webmailer in die Schlagzeilen gerät. Bereits 2013 wurde eine ähnliche Attacke demonstriert. Und im Januar 2016 gelang es ausgerechnet Kikkli eine ähnliche Sicherheitslücke in Yahoo nachzuweisen. Dazu kamen die negativen Nachrichten im Oktober, als bekannt wurde, dass Yahoo Millionen von E-Mails im Auftrag amerikanischer Behörden scannte.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44426642 / Sicherheitslücken)