Sicherheitslücke bei Yahoo-Mail

Aufgrund mehrerer Sicherheitslücken auf den Seiten von Yahoo war es Angreifern bis vor kurzem möglich, die Cookies von Yahoo-Kunden zu stehlen und sich damit Zugang zu deren Postfächern zu verschaffen. Cross-Site-Scripting (XSS) ist die Grundlage für die bislang undokumentierten Lücken. Den Nutzern des Webmailservice von Yahoo musste zunächst ein Link übermittelt werden, der auf eine Yahoo-Seite weist. Über die URL wurden dabei Javascript-Befehle weiter geleitet, mit denen Cookies ausgelesen und auch an fremde Rechner übermittelt werden konnten.

Diese gestohlenen Cookies konnte ein Angreifer anschließend zur Authentifizierung nutzen und sich Zugang zu fremden Mailaccounts verschaffen. Auch durch eine HTML-Mail konnten Cookies ausgelesen werden. Dabei spielte es keine Rolle, ob der verwendete Browser fremden Servern den Zugriff auf Cookies verweigert -- die Abfrage kam ja von den Yahoo-Servern. Um sich vor solchen Angriffen generell zu schützen, muss man JavaScript deaktivieren.

Bereits im Juli hatte CCC-Mitglied Stefan Krecher Yahoo auf die Sicherheitslücke aufmerksam gemacht und die konkrete Anwendung in der Zeitschrift des Chaos Computer Club "Die Datenschleuder" veröffentlicht. Er demonstrierte die Sicherheitslücke anhand einer Fehlerseite von Yahoo, über die problemlos Javascript-Code ausgeführt werden konnte. Wenige Tage später wurde diese Sicherheitslücke geschlossen.

Bei einer erneuten Durchsicht fand Krecher neue Schwachstellen auf den Yahoo-Seiten. So konnte man über eine Suchanfrage im Yahoo-Finanzportal Javascript unkontrolliert übermitteln und auch per URL aufrufen. Eine andere Möglichkeit bestand darin, dass dem Yahoo-Kunden eine Mail mit HTML-Anhang geschickt wurde. Durch eingefügtes JavaScript konnte eine Fehlfunktion im Adressbuch ausgenutzt werden, um ebenfalls Zugriff auf die Cookies zu erhalten. Eine für heute morgen zugesagte Stellungnahme von Yahoo blieb bislang aus, offenbar wurden die Sicherheitslöcher aber gestopft. (Torsten Kleinz) (pab)