Sicherheitslücke in Yahoo Mail gestopft
eEye Digital Security hat eine Sicherheitslücke in Yahoo Mail gemeldet, mit der sich die Anti-Scripting-Filter des Dienstes austricksen ließen.
eEye Digital Security hat eine Sicherheitslücke in Yahoo Mail gemeldet, mit der sich die Anti-Scripting-Filter des Dienstes austricksen lassen. Angreifern ist es so möglich, in HTML-Mails eingebetteten Scripting-Code auf dem System eines Anwenders in dessen Kontext auszuführen, wenn dieser eine Mail anschaut und Scripting aktiviert ist. Nach Angaben von eEye ist damit der Zugriff auf Authentifizierungs-Cookies möglich, um die Identität des Opfers zu übernehmen. Ferner können auf diese Weise auch gefälschte E-Mails versandt werden.
Der Trick ist eigentlich recht simpel: Bei Mails, die größer als 100 KByte sind -- exklusive Attachment-- , versagt der Filter, der eigentlich HTML- und Scripting-Code blocken sollte. Drew Copley, Verfasser des Advisorys, findet es nach eigenen Angaben bemerkenswert, dass niemand diesen Fehler bisher entdeckt hat. Laut Copley sei Yahoo bereits über das Problem informiert und habe es mittlerweile beseitigt.
Siehe dazu auch: (dab)
- Security Advisory von eEye
