Yahoo-Mail mit Sicherheitsproblemen

13. September 2002, 21:04
1 Posting

Zahlreiche Sicherheitslücken ermöglichten Angreifern auf Postfächer zugreifen zu können

Die Internetfirma Yahoo hat mit mehreren Sicherheitslücken in ihrem Mailzugang Yahoo Mail zu kämpfen. Gleich mehrere Sicherheitslücken ermöglichten es Angreifern die Zugangsdaten von Usern zu erhalten und so auf Postfächer zuzugreifen.

Cross-Site-Scripting

die bislang undokumentierten Lücken basieren alle auf dem so genannten Cross-Site-Scripting (XSS). An die Anwender von Yahoo Mail musste zunächst ein Link übermittelt werden, der wiederum auf eine Yahoo-Seite verweist. Über diese URL wurden dann Javascript-Befehle weiter übermittelt, diese ermöglichten jedoch sowohl das Auslesen von Cookies wie auch eine Weiterleitung an fremde Rechner.

Angreifer tricksten Authentifizierung aus

Mit diesen gestohlenen Cookies konnten Angreifer anschließend die Authentifizierung des Mailzugangs austricksen und sich so Zugang zu fremden Mailaccounts verschaffen. Wie nun bekannt wurde, konnten auch durch HTML-Mails Cookies ausgelesen und gestohlen werden. Eine effektive Hilfe bringt in solchen Fällen nur eine Deaktivierung von JavaScript, da auch ein Browser der Browser fremden Servern den Zugriff auf Cookies verweigert nutzlos ist, da die Abfrage von den Yahoo-Servern kam.

Seit Juli bekannt

Yahoo wurde bereits im Juli von einem Mitglied des deutschen Chaos Computer Club (CCC) über eine entsprechende Sicherheitslücke informiert. Die Lücke wurde daraufhin geschlossen. Doch nun wurden weitere Lücken entdeckt. So könnten Angreifer etwa über eine Suchanfrage im Yahoo-Finanzportal Javascript unkontrolliert übermitteln und auch per URL aufrufen. Auch eine Sicherheitslücke im Adressbuch machte es Angreifern möglich Zugriff auf das Postfach zu erlangen. Dazu musste nur eine entsprechend präparierte E-Mail mit HTML-Anhang geschickt werden. Eine eingefügte JavaScript-Datei konnte dann die Fehlfunktion im Adressbuch ausnutzen und Zugriff auf die Cookies schaffen. Laut ersten Berichten gibt es derzeit noch keine Stellungnahme von Yahoo, allerdings vermuten viele Experten, dass die Lücken bereits geschlossen wurden.(red)

Share if you care.