Cross-Site-Scripting-Lücke in Yahoo Webmail geschlossen

Sie ermöglichte es Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und ohne Zutun des Anwenders E-Mails weiterzuleiten oder zu versenden. Die Schwachstelle soll aber nicht aktiv ausgenutzt worden sein. Ihren Entdecker Jouko Pynnönen belohnte Yahoo mit 10.000 Dollar.

Yahoo hat eine kritische Cross-Site-Scripting-Lücke (XSS) in seinem Webmail-Client geschlossen. Sie erlaubte es Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und ohne Einwilligung des Anwenders E-Mails weiterzuleiten oder zu versenden. Entdeckt hatte die Schwachstelle der finnische Sicherheitsforscher Jouko Pynnönen vom Security-Unternehmen Klikki, das in einem Blogbeitrag nun Informationen dazu veröffentlicht hat.

Icon Yahoo Mail unter Android (Bild: Yahoo)Demnach hat Pynnönen den XSS-Fehler am 26. Dezember 2015 über Yahoos Sicherheitslücken-Prämienprogramm auf HackerOne gemeldet. Er erhielt dafür 10.000 Dollar. Yahoo reagierte schnell und schloss die Lücke am 6. Januar. Betroffen waren alle Versionen von Yahoo Webmail, nicht aber die Mobilanwendungen. Die Schwachstelle wurde nach Angaben von Klikki aber nicht aktiv ausgenutzt.

Durch sie ließ sich schädlicher JavaScript-Code in eine speziell formatierte E-Mail einbetten, der dann automatisch ausgeführt wurde, sobald ein Anwender die Nachricht öffnete. Klikki lieferte Yahoo auch eine Proof-of-Concept-E-Mail, die den Posteingang des Opfers an eine externe Website weiterleitete. Auf ähnliche Weise konnte ein E-Mail-Virus ein Yahoo-Mail-Konto infizieren und sich selbst an alle ausgehenden Nachrichten anhängen.

Wie die meisten E-Mail-Dienste heutzutage, zeigt auch Yahoo Mail Nachrichten im HTML-Format an, nachdem sie auf möglichen Schadcode untersucht wurden. Doch laut Klikki arbeiteten Yahoos Filter im geschilderten Fall nicht zuverlässig, so dass auf bestimmte Weise modifizierter HTML-Code sie umgehen konnte.

HIGHLIGHT

Produktiver arbeiten mit Unified Communications & Collaboration

Mit Unified Communications & Collaborations können Unternehmen die Produktivität der Anwender steigern, die Effizienz der IT verbessern und gleichzeitig Kosten sparen. Damit die unbestrittenen Vorteile einer UCC-Lösung sich in der Praxis voll entfalten können, müssen Unternehmen bei der Implementierung die Leistungsfähigkeit der Infrastruktur überprüfen.

Per Brute-Force-Methode stellte Pynnönen fest, welche Elemente Yahoos Filter durchließen. Dazu erstellte er einfach eine E-Mail mit allen bekannten HTML-Tags sowie -Attributen und betrachtete die Nachricht anschließend in Yahoo Mail. Dabei kam heraus, dass Yahoos Filter bei bestimmten HTML-Attributen mit einem Wert zwar diesen Wert entfernten, aber nicht das vorangestellte Gleichheitszeichen. Dies ermöglichte im Anschluss das Einfügen eines uneingeschränkten HTML-Attributs in bestimmte Tags und somit die automatische Ausführung beliebigen JavaScript-Codes. Einen darauf basierenden Exploit für die Lücke demonstriert Klikki in einem Video:

Pynnönen hatte im vergangenen Jahr schon eine XSS-Schwachstelle in der Blogging-Software WordPress entdeckt, die kurze Zeit später beseitigt wurde. Angreifer konnten sie ausnutzen, um über ein Kommentarfeld einer Website schädlichen JavaScript-Code zu injizieren. Mittels eines Cross-Site-Scripting-Angriffs war es so möglich, Nutzerdaten zu stehlen.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

Noch keine Kommentare zu Cross-Site-Scripting-Lücke in Yahoo Webmail geschlossen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *