Forenübersicht
»
Talk
»
News

Yahoo: Angreifer konnten alle E-Mails von Nutzern mitlesen


Hinweise


Willkommen

Navigation


Partner Links

 
Antwort Themen-Optionen Ansicht
Ungelesen 09.12.16, 11:09   #1
Benutzerbild von vladi63
Mitglied seit: Dec 2014
Beiträge: 1.602
vladi63 ist offline
vladi63
Banned
 
Yahoo: Angreifer konnten alle E-Mails von Nutzern mitlesen



Beim Portalbetreiber Yahoo scheint man seit den letzten Sicherheitsproblemen eine neue Kultur der Offenheit pflegen zu wollen. So gab das Unternehmen jetzt bekannt, dass man eine schwerwiegende Lücke schließen konnte, die Angreifern Zugang zu E-Mail-Inhalten der Nutzer ermöglicht hätte. Entdeckt wurde das Problem vom Sicherheitsforscher Jouko Pynnonen. Dieser übermittelte Yahoo die notwendigen Informationen, so dass der Fehler behoben werden konnte. Nach bisherigen Erkenntnissen wurde die Sicherheitslücke bisher nicht ausgenutzt. Yahoo belohnte Pynnonen über sein Bug Bounty-Programm mit einem Betrag von 10.000 Dollar.

Der Sicherheitsforscher zog in seinem Bericht über die Schwachstelle Parallelen zu Fehlern die schon in vorherigen Fällen Probleme verursacht hätten. Erneut bot sich hier die Möglichkeit, dass ein Angreifer über Cross-Site Scripting (XSS) erfolgreich sein konnte. Allerdings, so führte Pynnonen quasi zur Ehrenrettung Yahoos aus, sei der Bug nicht gerade einfach zu finden gewesen.

Fehler kaum zu finden
Hinter dem E-Mail-Service Yahoos laufen Filtersysteme, die Schadcode aus Nachrichten herausfiltern sollen. Allerdings schafften diese es nicht, alle potentiell gefährlichen Skripte zu erkennen und zu beseitigen. So gelang es ihm dann doch, JavaScript über eine E-Mail in den Browser eines Nutzers einzuschleusen, der dann beim Öffnen der Mitteilung ausgeführt wurde. Der Angreifer konnte sich dann so die Inhalte anderer E-Mails im Posteingang übermitteln lassen.

"Ich würde nicht gerade behaupten, dass es sich um einen Standard-Fehler handelt, und es ist nichts, was sich mit automatisierten Tools finden ließe", führte der Sicherheitsforscher aus. Wenn man allerdings erst einmal Kenntnis von der Funktionsweise hat, wäre es letztlich aber einfach gewesen, die Schwachstelle mit einem Exploit auszunutzen. Einen wirklichen Schutz vor solchen Problemen böte es letztlich nur, ausschließlich Plain-Text-E-Mails zuzulassen - doch diesen Weg will heute wohl niemand mehr gehen.

Quelle
Mit Zitat antworten Beitrag melden
   
Ungelesen 09.12.16, 18:08   #2 Top
Benutzerbild von CinepleX
Mitglied seit: Nov 2014
Beiträge: 218
CinepleX ist offline
CinepleX
Banned
 
Yahoo: Angreifer konnten alle E-Mails von Nutzern mitlesen

Wieso wanderst du nicht in ein Land aus indem es kein Internet gibt ?

Mit Zitat antworten Beitrag melden
   
Antwort


 

Ähnliche Themen
Thema Forum
Yahoo schnüffelte sich jahrelang im US-Behördenauftrag durch E-Mails News
Yahoo sperrt Adblock-Nutzern den Zugang zum E-Mail-Postfach News
[Other] Yahoo: Ursprung von Yahoo wird eingestellt Netzwelt


« Vorheriges Thema | Nächstes Thema »



Jetzt registrieren


Registrieren | Forum-Mitarbeiter | Kontakt | Nutzungsbedingungen | Archiv

Alle Zeitangaben in WEZ +2. Es ist jetzt 01:30 Uhr.

All trademarks are the property of their respective owners.
Copyright ©2019 Boerse.IM/AM/IO/AI



().