Freemailer GMX will sicherer werden

Der Freemail-Provider GMX hat nach eigenen Angaben eine Lösung für die in der vergangenen Woche entdeckten Sicherheitslöcher im Web-Frontend gefunden: Ab sofort soll die Oberfläche HTML-Code in E-Mails generell nicht mehr automatisch ausführen. "Aufwändig gestaltete E-Mails mit eingebetteten Inhalten" seien in jüngster Vergangenheit "verstärkt durch Hacker missbraucht worden", hieß es bei GMX. Daher sehe man sich veranlasst, dieses Sicherheitsrisiko durch geeignete technische Maßnahmen auszuschalten, teilte das Unternehmen mit.

Mitte Juli war ein Hacker mittels des so genannten "Referrer-Bugs" in 1625 GMX-Postfächer eingedrungen und hatte deren Zugangspasswörter geändert. Anstatt das Problem an der Wurzel zu packen, versuchten die Techniker des Freemail-Dienstes, problematische Referrer-Übergaben an fremde Rechner mit einem Filtersystem zu unterbinden. In der vergangenen Woche ist es allerdings zweimal gelungen, diesen Schutzmechanismus ohne großen Aufwand zu überlisten.

Auch der neue Mechanismus ist allerdings zu umgehen: c't schaffte es heute mit einem simplen Trick, ohne ausdrückliche Zustimmung eines Nutzers über das GMX-Webfrontend Javascript-Code per E-Mail auf den Rechner des Benutzers zu transportieren und dort auszuführen. Wegen des Feiertags in Bayern war heute GMX in München nicht für eine Stellungnahme zu erreichen. (hob)