Sicherheitslücke in Yahoo-Mail und Hotmail
Eine Sicherheitslücke in Yahoo!Mail und Hotmail ermöglicht in Kombination mit dem Internet Explorer das Ausführen von beliebigem Scripting Code.
Der Sicherheitsdienstleister GreyMagic hat in Yahoo!Mail und Hotmail einen Fehler bei der Filterung von HTML-Mails entdeckt, der in Kombination mit dem Internet Explorer zu einer Sicherheitslücke wird. Ein Angreifer kann die HTML+TIME-Funktion zur Steuerung von Dokumenten in HTML-Mails ausnutzen, um beliebigen Scripting Code im Browser des Opfers in dessen Kontext und der Sicherheitszone des Mail-Dienstes auszuführen. Das Lesen einer derart manipulierten Mail unter Yahoo oder Hotmail reicht dazu aus.
Nach Angaben von GreyMagic ließen sich damit die Authentisierungs-Cookies auslesen, so dass ein Angreifer damit die Identität seines Opfers übernehmen könne, um vollen Zugriff auf die Mail-Konten zu erhalten. Ein Proof-of-Concept-Exploit zur Demonstration der Lücke ist dem Advisory beigefügt. Beide Anbieter sind über das Problem informiert, Microsoft soll den Fehler in Hotmail auch bereits beseitigt haben.
Siehe dazu auch: (dab)
- Security Advisory von GreyMagic
