Categories: SicherheitVirus

Yahoo stopft kritisches Datenleck in Yahoo Mail

Yahoo hat eine kritische Sicherheitslücke in Yahoo Mail geschlossen, die es einem Angreifer erlaubte, auf Nachrichten beliebiger Nutzer zuzugreifen. Entdeckt wurde die Schwachstelle von Jouko Pynnönen, Gründer und CEO des finnischen Sicherheitsanbieters Klikki. Über das Prämienprogramm HackerOne kassierte er eine Belohnung von 10.000 Dollar.

In einem Blogeintrag beschreibt Pynnönen die Schwachstelle als Cross-Site-Scripting-Lücke (XSS). Es sei zwar sehr schwierig gewesen, den Bug zu finden, ihn auszunutzen sei umso leichter. „Es ist kein grundlegender Fehler und es ist auch nichts, was man mit automatischen Tools oder Scannern finden kann.“

Ein Hacker konnte demnach nicht nur Nachrichten eines Opfers lesen, sondern dessen Konto auch benutzen, um andere Yahoo-Mail-Konten zu infizieren. Ein Opfer musste er lediglich dazu verleiten, eine von ihm verschickte E-Mail zu öffnen. „Eine weitere Interaktion wie ein Klick auf einen Link oder das Öffnen eines Dateianhangs ist nicht erforderlich“, ergänzte der Forscher.

Schon Anfang des Jahres hatte Yahoo eine von Pynnönen entdeckte XSS-Lücke in Yahoo Mail geschlossen. „Die Auswirkungen sind die gleichen wie Anfang des Jahres“, so Pynnönen weiter. „Als Proof of Concept habe ich Yahoo Security eine E-Mail zur Verfügung gestellt, die, sobald geöffnet, AJAX nutzt, um den Inhalt des Posteingang des Nutzers zu lesen und an einem Server des Angreifers zu schicken.“

Loading ...

Yahoo filtert die für Pynnönens Angriff benötigten HTML-Nachrichten, um sicherzustellen, dass enthaltener Schadcode nicht bis zum Browser des Nutzers vordringt. Der Forscher stellte jedoch fest, dass die Filter nicht in der Lage waren, alle gefährlichen Datenattribute zu entfernen. Die von ihm präparierten Nachrichten führten deswegen zu einer automatischen Ausführung schädlichen JavaScript-Codes.

Details zu der Schwachstelle wurden über HackerOne am 12. November an Yahoo übermittelt. Das stopfte das Loch bereits am 29. November und stellte daraufhin die Belohnung von 10.000 Dollar zur Verfügung.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

...zum Artikel

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: E-MailHackerSecuritySicherheit
7 Jahren ago

Recent Posts

Google: Passkeys schützen mehr als 400 Millionen Google-Konten

Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…

1 Stunde ago

Infostealer: 53 Prozent der Angriffe treffen Unternehmensrechner

Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…

3 Stunden ago

Salesforce: Mit Einstein GPT zurück auf die Überholspur?

Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.

24 Stunden ago

Neue Backdoor: Bedrohung durch Malvertising-Kampagne mit MadMxShell

Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.

2 Tagen ago

BSI-Studie: Wie KI die Bedrohungslandschaft verändert

Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.

3 Tagen ago

KI-Wandel: Welche Berufe sich am stärksten verändern

Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…

3 Tagen ago