TweakPC


Yahoo Mail: Schadcode in E-Mails konnte direkt ausgeführt werden

Dienstag, 19. Jan. 2016 12:36 - [ar] - Quelle: klikki.fi

Durch eine XSS-Sicherheitslücke ist es Angreifern gelungen, Konten von Yahoo Mail mit Schadcode zu infizieren, welcher direkt vom Browser ausgeführt wurde.

In allen Versionen des Webmail-Dienstes von Yahoo war eine erhebliche XSS-Lücke zu finden. Die E-Mails wurden mit einem speziellen Schadcode infiziert, welcher direkt ausgeführt wurde, sobald ein Nutzer die Mail öffnete. Im schlimmsten Fall hätte ein Angreifer das komplette Yahoo-Konto übernehmen können. Nutzer der Yahoo-App waren nicht von dem Angriff betroffen. Yahoo konnte die Sicherheitslücke nach eigenen Angaben bereits wieder schließen und versicherte, dass kein Angriff erfolgreich durchgeführt wurde.

Das Problem stellte der Sicherheitsfilter von Yahoo dar. Welcher zwar effektiv Schadcode identifizieren konnte, aber gefiltert dennoch einige Befehle durchgelassen hat.

Der Kryptologe Pynnönen, welcher die Sicherheitslücke bereits im Dezember 2015 entdeckt hatte, bekam von Yahoo 10.000 US-Dollar für das Melden der Schwachstelle.


(Video: Yahoo Mail stored XSS)
Verwandte Testberichte, News, Kommentare
Forum News


ueber TweakPC: Impressum, Datenschutz Copyright 1999-2018 TweakPC, Alle Rechte vorbehalten, all rights reserved