Yahoo: kein HTTPS, dafür eine Fülle an XSS-Lücken

Während Facebook, Twitter, Googles Gmail und Microsofts Hotmail HTTPS als Standard-Verschlüsselung für ihre Nutzer einsetzen, bleibt Yahoos Webmail-Zugang weiterhin unverschlüsselt. Der neuste Fund einer Cross-Site-Scripting-Lücke für Yahoo ist im Einzelnen nicht ungewöhnlich, er deckt allerdings auf, dass Yahoo sich scheinbar weniger um Schadensbegrenzung bemüht als Mitbewerber.

Laut Sicherheitsblogger Brian Krebs von Krebs on Security soll ein ägyptischer Hacker in einem einschlägigen Internet-Forum eine Cross-Site-Scripting Lücke in einem Yahoo-Dienst verkaufen. Die Lücke soll es Angreifern erlauben, Cookies von Yahoo-Webmail-Nutzern zu stehlen. Mit Hilfe der Cookies können Angreifer die E-Mails der Opfer einsehen oder auch E-Mails über das gekaperte Konto verschicken.

Der Hacker weist darauf hin, dass es sich um "Stored XSS" handelt, welches "mit allen Browsern funktioniert". Stored XSS bedeutet, dass der eingeschleuste Code dauerhaft auf den Zielservern gespeichert ist – in diesem Fall also bei Yahoo. Dies ist möglich, wenn zum Beispiel die Eingabe in Kommentarfeldern von Nutzerforen vom Server gespeichert und später ohne Prüfung ausgegeben wird. Dadurch, dass das XSS auf den Ziel-Servern liegt, müssen auch die XSS-Filter von Browsern nicht umgangen werden. Darauf weist auch der Hacker triumphierend hin und führt sein Cross-Site-Scripting in einem Video vor.

Da das Script für XSS auf Yahoo-Servern liegt, muss Yahoo nun aktiv werden, um die kompromittierte Yahoo.com-URL zu finden, über die das XSS geladen wird. Ramses Martinez, Sicherheitsdirektor von Yahoo, versicherte gegenüber Brian Krebs, dass die Lücke "innerhalb von wenigen Stunden" geschlossen werden kann, sobald das Script vorliegt. Denn "die meisten XSS können mit einer einfachen Codeveränderung gestoppt werden".

So einfach und schnell scheint das aber nicht immer zu gehen. Zumindest bei Yahoo nicht. Krebs weist auf Webseiten hin, die Informationen über Cross-Site-Scripting-Lücken sammeln und auch angeben, welche Lücken noch offen und welche geschlossen sind. In der Liste von xssed taucht Yahoo erstaunlich häufig auf; viele der angezeigten XSS-Schwachstellen sind noch nicht gepatcht.

Wie Krebs berichtet, unternimmt Yahoo auch keine Bug-Bounty-Programme wie einige andere große Internetunternhemen. Facebook, Google und Mozilla bezahlen Nutzern eine Prämie, wenn sie Sicherheitslücken direkt bei ihnen melden. Je nachdem wie gravierend die Sicherheitslücke ist, wird die Entlohnung angepasst. Dabei kann auch schon eine einzelne Lücke mit bis zu 60.000 US-Dollar vergoldet werden. Womit andere Konzerne scheinbar gute Erfahrungen gemacht haben, ist aber für Yahoo offensichtlich kein Vorbild.

Vielleicht auch deshalb hofft der ägyptische Hacker auf andere Einnahmequellen und die Verschwiegenheit seiner Kunden. Er formuliert es so: "Obwohl so eine Lücke normalerweise [auf dem Schwarzmarkt] für 1.100 bis 1.500 Dollar verkauft wird, biete ich sie euch hier für nur 700 Dollar an. Ich werde sie aber nur an vertrauenswürdige Leute verkaufen, da ich nicht möchte, dass die Lücke schnell geschlossen wird." Die Lücke kann er so auch mehrfach verkaufen.

Auf eine Anfrage von heise security, ob die Sicherheitslücke mittlerweile geschlossen wurde und wie der Einsatz von SSL-Verschlüsselung für Webmail bewertet wird, hat Yahoo bisher nicht reagiert.

[UPDATE 27.11.2012 18:00 Uhr]:

Folgende Stellungnahme hat Yahoo heise security zukommen lassen:

"At Yahoo! we take security very seriously and invest heavily in measures to protect our users and their data. We were recently informed of an online video that demonstrated a vulnerability on one of our sites. We immediately deployed teams to investigate the issue and confirm that the vulnerability has been fixed. We recommend that users follow simple online security measures such changing passwords on a regular basis, never clicking on links in emails requesting a password and to familiarize themselves with our online safety tips at security.yahoo.com."

Die XSS-Sicherheitslücke wurde geschlossen. Seinen Nutzern empfiehlt Yahoo das Einhalten von "einfachen Online-Sicherheitsmaßnahmen" und verweist auf die Online-Sicherheits-Tipps unter security.yahoo.com. (kbe)