Yahoo fixt Null-Byte-Schwachstelle in WebMail

Yahoo hat eine Schwachstelle in seinem WebMail-Dienst beseitigt, über die ein Angreifer Script-Code so in E-Mails einbetten konnte, dass er ausgeführt wurde, wenn der Empfänger die Mail mit dem Internet Explorer öffnete. Angreifer hätten auf diesem Weg auch bekannte Sicherheitslücken des Microsoft-Browsers ausnutzen können, um etwa Trojaner einzuschleusen. Eigentlich filtert Yahoo Script-Code aus den Mails heraus. Doch die Sicherheitsfirma Sec-Consult fand heraus, dass sich diese Filter durch Einbetten von Metazeichen wie dem NUL-Zeichen umgehen ließen. Laut Sec-Consult hat Yahoo diese Lücke nun geschlossen.

heise Security wies vor etwa einem Monat darauf hin, dass der Internet Explorer Bytes mit dem Wert 0 komplett ignoriert und sich auf diesem Weg Viren-Scanner, Intrusion-Detection-Systeme und andere Schutzinstrumente umgehen lassen. heise Security gelang es damit beispielsweise, längst bekannten und im c't-Browsercheck aufgeführten Schadcode für IE-Lücken an allen Virenscannern und einem Intrusion Prevention System vorbeizuschmuggeln.

Nachdem Yahoo offenbar nicht anhand einer Liste erlaubter Zeichen filtert, sondern statt dessen versucht, potenziell schädlichen Code zu erkennen, war der Web-Mail-Dienst ebenfalls anfällig für den NUL-Byte-Trick. Der ist zwar bereits seit geraumer Zeit bekannt, wurde aber bis auf wenige Ausnahmen bislang von Herstellern von AV-Software und anderen Sicherheitsprodukten nicht berücksichtigt. Wie heise Security bereits in einem Advisory anmerkte, ist es wahrscheinlich, dass sich auch andere Schutzmaßnahmen, die versuchen, ActiveX oder Script-Code zu erkennen, auf diesem Weg umgehen lassen.

Siehe dazu auch: (ju)

• Security Advisory von Sec-Consult
• Null Problemo auf heise Security
• NUL-Demos von heise Security (englisch)