Yahoo behebt Sicherheitslücke, die es Hackern ermöglicht, E-Mails abzuhören

Yahoo hat einen Fehler in seiner Mail-Dienst Dies hätte es Hackern ermöglichen können, Benutzer-E-Mails fast ein Jahr nach der Veröffentlichung und dem Patch des gleichen Fehlers abzuhören. Jouko Pynnonen aus Finnland erhielt von Yahoo 10.000 US-Dollar für die Offenlegung der neuen Schwachstelle, die Yahoo letzten Monat behoben hatte.

Der Fehler betraf einen Cross-Site-Scripting-Angriff, der einem Angreifer die Erlaubnis gab, die E-Mails eines Benutzers zu lesen oder einen Virus zu erstellen, um Yahoo Mail-Konten zu infizieren. Pynnonen erklärte, dass ein Benutzer die E-Mail eines Angreifers anzeigen muss, damit der Fehler funktioniert.

Der Fehler ähnelte einem alten Yahoo Mail-Fehler, den Pynnonen letztes Jahr entdeckte und der Hackern die vollständige Kontrolle über ein Yahoo Mail-Konto geben konnte.

Mängel bei Yahoo-Filtern

Pynnonen nannte einen Mangel im Yahoo-Filter für HTML-Nachrichten als Schuldigen für die neueste Sicherheitslücke. Der Filter blockiert schädlichen Code aus dem Browser des Benutzers. Laut dem Forscher konnte der Filter nicht alle schädlichen Datenattribute erfassen. Ein Hacker könnte dann bösartiges JavaScript ausführen, indem er einfach eine benutzerdefinierte E-Mail an das Opfer sendet.

Der Forscher entdeckte den Fehler in der Ansicht zum Verfassen von E-Mails, in der verschiedene Optionen für Anhänge ihn auf potenzielle Fehler in der grundlegenden HTML-Filterung aufmerksam machten. Pynnonen erstellte daraufhin eine E-Mail mit verschiedenen Anhängen und schickte die Nachricht an ein externes Postfach. Bei der Inspektion der roh HTML in der E-Mail, einige bösartige Attribute erregten seine Aufmerksamkeit.

„Was mir aufgefallen ist, waren die data-* HTML-Attribute. Zuerst stellte ich fest, dass meine Bemühungen im letzten Jahr, die von Yahoos Filtern zugelassenen HTML-Attribute aufzuzählen, nicht alle davon erfasst haben.“

Pynnonen hielt es für möglich, mehrere HTML-Attribute einzubetten, die den HTML-Filter von Yahoo passieren würden. Er fand schließlich einen pathologischen Fall, nachdem er eine E-Mail mit missbräuchlichen Daten-*-Attributen verfasst hatte.

Yahoo stand Anfang des Jahres unter Beschuss, nachdem Berichten zufolge mindestens 200 Millionen Mail-Konten im Dark Web verkauft wurden.

Lesen Sie auch:

  • So melden Sie sich mit einem Yahoo-Konto bei Windows 10 Mail an
  • Die Yahoo Mail-App für Windows 10 synchronisiert jetzt Kontakte mit Microsoft People
Laden Sie die Yahoo Mail-App für Windows 10 kostenlos herunter [UPDATE]

Laden Sie die Yahoo Mail-App für Windows 10 kostenlos herunter [UPDATE]Yahoo Mail

Die Yahoo! Die Mail-App steht seit einiger Zeit nicht mehr zum Download im Microsoft Store zur Verfügung.Sie können jedoch die gleichen Produktivitätsergebnisse erzielen, wenn Sie eine der verfügba...

Weiterlesen
Yahoo behebt Sicherheitslücke, die es Hackern ermöglicht, E-Mails abzuhören

Yahoo behebt Sicherheitslücke, die es Hackern ermöglicht, E-Mails abzuhörenYahoo Mail

Yahoo hat einen Fehler in seiner Mail-Dienst Dies hätte es Hackern ermöglichen können, Benutzer-E-Mails fast ein Jahr nach der Veröffentlichung und dem Patch des gleichen Fehlers abzuhören. Jouko P...

Weiterlesen
Erhalten Sie den temporären Fehler: 19 auf Yahoo Mail? Sehen Sie sich unsere 3 Korrekturen an

Erhalten Sie den temporären Fehler: 19 auf Yahoo Mail? Sehen Sie sich unsere 3 Korrekturen anYahoo MailWindows 11Email

Der temporäre Yahoo Mail-Fehler: 19 kann verursacht werden, wenn Sie einen nicht unterstützten Browser verwenden.Stellen Sie zunächst sicher, dass Ihre App Yahoo-Dienste und Cookies unterstützt.Alt...

Weiterlesen