Sicherheitslücken bei Webmailern [Update]

Die österreichischen Online-Sicherheitsexperten SEC Consult weisen auf mehrere Sicherheitslücken (1, 2) bei populären Webmail-Anbietern wie Yahoo, Web.de und GMX hin. Bei allen genannten Diensten lassen sich in HTML-Mails Skripte einschleusen. Durch diese Cross-Site-Scripting-Attacken (XSS) lassen sich beispielsweise Account-Daten des Empfängers auslesen.

Alle drei Provider versuchen, JavaScript oder VBScript in Mails durch Filterung gefährlicher Schlüsselbegriffe (etwa "script" oder "javascript") zu unterbinden, doch scheitern diese Filter an dazwischengeschobenen Null-Bytes – eine seit längerem bekannte Schwachstelle. Ein weiterer Schwachpunkt sind "XML Data Islands", mit denen Internet Explorer XML-Daten zum Beispiel an eine Tabelle binden kann. Hier kann ein Angreifer Schadcode einschmuggeln, der in eingeschlossen ist.

SEC Consult steht nach eigenen Angaben bereits geraume Zeit in Kontakt mit einigen der genannten Mail-Dienste, doch "habe sich die Situation kaum geändert, da die zuständigen Sicherheitsleute nicht viel Interesse an der Sache zeigen". SEC Consult empfiehlt den Providern dringend, alle HTML-Anweisungen mit Ausnahme weniger harmloser Tags zu entfernen – also per Whitelist anstatt per Blacklist zu filtern.

Als den für solche Angriffe anfälligsten Browser schätzt SEC Consult Microsoft Internet Explorer ein, von dessen Verwendung sie abraten. Eine zuverlässige Sicherheitsmaßnahme für die Anwender ist das Abschalten von JavaScript beim Abruf der E-Mails per Web-Frontend.

Update: GMX weist nach eigenen Angaben den Anwender auf die Gefahren der HTML-Volldarstellung hin und bestreitet, dass das Einschleusen von JavaScript in das GMX-Webmail-Frontend das Auslesen der Account-Daten möglich macht. (heb)