Zwei Spezialisten der israelischen Sicherheitsfirma Avnet haben Anfang August eine Sicherheitslücke im Mail-Service von Yahoo entdeckt, die mehrere Arten von Angriffen ermöglichen soll. Der von Nir Goldshlager und Roni Bachar im Rahmen eines Tests aufgespürte Fehler liegt in der Art und Weise, wie Yahoo Mail Dateianhänge handhabt.
Laut Bachar ließ sich mit Hilfe eines manipulierten HTML-Attachments der Sicherheitsfilter von Yahoo Mail umgehen und bösartiger Javacript-Code ausführen. Über den Schadcode, der schon beim Öffnen der E-Mail und nicht erst beim Anklicken des Dateianhangs aktiv wird, könnten Hacker das Cookie des Mail-Empfängers stehlen und sich zeitlich unbeschränkten Zugang zu dessen Mailbox verschaffen. Laut Bachar lässt sich dieser Angriffspunkt aber auch für eine Reihe anderer Attacken nutzen. Hierzu zählten Bedrohungen wie die Verbreitung von Würmern, die Installation von Keyloggern sowie Phishing und Port-Scanning.
Laut Yahoo-Sprecherin Kelley Podboy ist die Sicherheitslücke mittlerweile behoben und der entsprechende Fix weltweit im Einsatz. Nutzer des Web-Mail-Service müssen demnach nicht selbst aktiv werden, um sich vor dem Exploit zu schützen. (kf)
