Yahoo behebt Sicherheitslücke, die es Hackern ermöglicht, E-Mails abzuhören

How to effectively deal with bots on your site? The best protection against click fraud.

Yahoo hat einen Fehler in seiner Mail-Dienst Dies hätte es Hackern ermöglichen können, Benutzer-E-Mails fast ein Jahr nach der Veröffentlichung und dem Patch des gleichen Fehlers abzuhören. Jouko Pynnonen aus Finnland erhielt von Yahoo 10.000 US-Dollar für die Offenlegung der neuen Schwachstelle, die Yahoo letzten Monat behoben hatte.

Der Fehler betraf einen Cross-Site-Scripting-Angriff, der einem Angreifer die Erlaubnis gab, die E-Mails eines Benutzers zu lesen oder einen Virus zu erstellen, um Yahoo Mail-Konten zu infizieren. Pynnonen erklärte, dass ein Benutzer die E-Mail eines Angreifers anzeigen muss, damit der Fehler funktioniert.

Der Fehler ähnelte einem alten Yahoo Mail-Fehler, den Pynnonen letztes Jahr entdeckte und der Hackern die vollständige Kontrolle über ein Yahoo Mail-Konto geben konnte.

Mängel bei Yahoo-Filtern

Pynnonen nannte einen Mangel im Yahoo-Filter für HTML-Nachrichten als Schuldigen für die neueste Sicherheitslücke. Der Filter blockiert schädlichen Code aus dem Browser des Benutzers. Laut dem Forscher konnte der Filter nicht alle schädlichen Datenattribute erfassen. Ein Hacker könnte dann bösartiges JavaScript ausführen, indem er einfach eine benutzerdefinierte E-Mail an das Opfer sendet.

instagram story viewer

Der Forscher entdeckte den Fehler in der Ansicht zum Verfassen von E-Mails, in der verschiedene Optionen für Anhänge ihn auf potenzielle Fehler in der grundlegenden HTML-Filterung aufmerksam machten. Pynnonen erstellte daraufhin eine E-Mail mit verschiedenen Anhängen und schickte die Nachricht an ein externes Postfach. Bei der Inspektion der roh HTML in der E-Mail, einige bösartige Attribute erregten seine Aufmerksamkeit.

„Was mir aufgefallen ist, waren die data-* HTML-Attribute. Zuerst stellte ich fest, dass meine Bemühungen im letzten Jahr, die von Yahoos Filtern zugelassenen HTML-Attribute aufzuzählen, nicht alle davon erfasst haben.“

Pynnonen hielt es für möglich, mehrere HTML-Attribute einzubetten, die den HTML-Filter von Yahoo passieren würden. Er fand schließlich einen pathologischen Fall, nachdem er eine E-Mail mit missbräuchlichen Daten-*-Attributen verfasst hatte.

Yahoo stand Anfang des Jahres unter Beschuss, nachdem Berichten zufolge mindestens 200 Millionen Mail-Konten im Dark Web verkauft wurden.

Lesen Sie auch:

  • So melden Sie sich mit einem Yahoo-Konto bei Windows 10 Mail an
  • Die Yahoo Mail-App für Windows 10 synchronisiert jetzt Kontakte mit Microsoft People
Teachs.ru
So fügen Sie ein iCloud-, Yahoo!-, QQ-Konto zu Windows 10 Mail hinzu

So fügen Sie ein iCloud-, Yahoo!-, QQ-Konto zu Windows 10 Mail hinzuWindows Mail ClientI CloudYahoo Mail

Die meisten Benutzer haben mehrere E-Mail-Konten auf mehreren Clients, und deren Zusammenführung kann die E-Mail-Verwaltung erheblich vereinfachen.Aus diesem Grund zeigen wir Ihnen, wie Sie Ihre iC...

Weiterlesen
Laden Sie die Yahoo Mail-App für Windows 10 kostenlos herunter [AKTUALISIEREN]

Laden Sie die Yahoo Mail-App für Windows 10 kostenlos herunter [AKTUALISIEREN]Yahoo Mail

Die Yahoo! Die Mail-App steht seit einiger Zeit nicht mehr zum Download im Microsoft Store zur Verfügung.Sie können jedoch die gleichen Produktivitätsergebnisse erzielen, wenn Sie eine der verfügba...

Weiterlesen
5+ beste Antivirenprogramme für Yahoo Mail [Sicherheitsleitfaden]

5+ beste Antivirenprogramme für Yahoo Mail [Sicherheitsleitfaden]Yahoo MailAntivirus

Wenn Sie nach einem Antivirus für Yahoo Mail suchen, umfasst unsere Auswahl Anti-Spam- und Anti-Phishing-Funktionen.Unsere erste Wahl kommt von ESET, einem Tool mit einemAnti-Diebstahl- und Batteri...

Weiterlesen
ig stories viewer