Yahoo Mail: Webbrowser führten beliebigen Code in E-Mails aus
Nutzer, die mobil E-Mails von ihrem Yahoo-Konto abrufen, waren bedroht und Angreifer hätten ihnen ohne viel Aufwand Schadcode unterschieben können.
(Bild: Screenshot)
In der mobilen Webseite von Yahoo Mail klaffte eine XSS-Lücke; Webbrowser führten beliebigen Code in E-Mails aus. Das Kritische dabei war, dass Nutzer die E-Mail noch nicht einmal öffnen mussten. Allein der Empfang reicht aus, dass der Code ausgeführt wird, erläutert der Penetrationstester und Entdecker der Lücke, Ibrahim Raafat. Er demonstriert den Angriff in einem Video.
Raafat wies Yahoo eigenen Angaben zufolge am 11. November 2015 auf die Schwachstelle hin. Der Anbieter habe schnell reagiert und die Lücke am 21. November 2015 geschlossen. Bis zu diesem Zeitpunkt hätten Angreifer auf vergleichsweise simplen Weg Schadcode auf Systemen ausführen können. Ob es derartige Übergriffe gegeben hat, ist aktuell nicht bekannt.
Yahoo hat den Sicherheitsforscher im Zuge des Bug-Bounty-Programms mit einer Geldprämie in nicht bekanntgegebener Höhe entlohnt. (des)
