Kritische Lücke in Yahoo-Mail gestopft

Ein kritisches Sicherheitsloch in Yahoo-Webmail hatte es Angreifern ermöglicht, Yahoo-Nutzern Skripte unterzuschieben, die dann automatisch ausgeführt wurden. Das Sicherheitsunternehmen Finjan Software hat das Problem entdeckt und Yahoo am 11. November informiert. Nachdem Yahoo das Problem jetzt beseitigt hat, beschreibt Finjan den Fehler detailliert in einer Pressemitteilung. Das Problem bestand darin, dass das Mail-Interface automatisch in einer Mail eingebettete Skripte ausgeführt hat. Angreifer konnten so Skripte auf dem Rechner des Opfers automatisch ausführen lassen, wenn der Browser Scripting zulässt. Darüber wäre es beispielsweise möglich gewesen, kritische Daten der Nutzer auszuspionieren oder gar trojanische Pferde zu installieren.

Yahoo-Sprecherin Mary Osako sagte in einem E-Mail-Statement, dass man nach der Information von Finjan das Problem schleunigst auf den Servern behoben hat, ohne dass die Nutzer tätig werden mussten. Man wisse nichts davon, dass die Schwachstelle ausgenutzt wurde. (pab)