News
26.06.2008, 08:15 Uhr
Yahoo-User wurden ausspioniert
Eine Schwachstelle hat Millionen Yahoo-Anwender dem Risiko des Identitätsdiebstahls ausgesetzt.
Laut Yahoo wurde eine Sicherheitslücke in Yahoo Mail beseitigt, die es Angreifern eventuell ermöglicht hätte, die Yahoo-Identität des Opfers zu stehlen und Zugang zu deren privaten Daten zu erhalten. Die Schwachstelle wurde im vergangenen Monat von der Sicherheitsexpertin Cenzic entdeckt. Das zugrunde liegende Problem soll eine Cross-Site-Scripting-Lücke (XSS) gewesen sein. Diese betraf die aktuellen Versionen des Yahoo-Messengers und Yahoo-Mail-Clients Version 9. Letzterer befindet sich noch in der Betaphase. Cenzics stellvertretender Marketing-Chef Mandeep Khera bemerkte, dass die Korrektur der XSS-Schwachstelle mit Veränderungen auf den Yahoo-Servern verbunden sei. Anwender müssen demnach keine neuen Yahoo-Anwendungen herunterladen. Bisher wisse man nicht ob oder wie viele Nutzer ausspioniert worden sind bevor die Lücke beseitigt wurde. Es könnten Khera zufolge viele gewesen sein.
Eine Sprecherin von Yahoo sagte das Unternehmen wisse um die Sicherheitslücke.Das Problem sei inzwischen jedoch komplett beseitigt worden. Dem Internet-Konzern zufolge wurde die Sicherheitslücke nicht ausgenutzt. Yahoo würde das Thema Anwendersicherheit sehr ernst nehmen und würde sich weiterhin darum bemühen, potenzielle Bedrohungen zu bekämpfen. Cenzic hat beschrieben, wie es Angreifern gelungen sein könnte, die Sicherheitslücke in Yahoo Mail auszunutzen. Hacker würden demnach die Yahoo-Messenger-Desktop-Anwendung 8.1.0.209 nutzen, während sie mit dem Opfer chatten. Das Opfer bräuchte die Messenger-Unterstützung der neuen Yahoo-Mail-Web-Anwendung. Ein neuer Chat-Tab würde sich im Browser des Opfers öffnen. Während des Chats könnte Angreifer seinen Status auf «unsichtbar» ändern, was auf Opferseite die Meldung «offline» zufolge hätte. Während dieser Status-Änderung könnte der Angreifer eine Nachricht mit Schad-Code in Form der Status-Meldung „Online“ schicken, mit dem Script das im Rahmen von Yahoo-Mail ausgeführt wird. Dies hätte dem Angreifer erlaubt, Zugriff auf die Session-ID des Opfers zu erhalten und damit die Yahoo-Identität zu stehlen sowie auch persönliche Informationen aus dem Yahoo-Konto. Diese Sicherheitslücke hat Millionen Yahoo-Nutzer einem möglichen Identitätsdiebstahl ausgesetzt, meint Khera.
Eine Sprecherin von Yahoo sagte das Unternehmen wisse um die Sicherheitslücke.Das Problem sei inzwischen jedoch komplett beseitigt worden. Dem Internet-Konzern zufolge wurde die Sicherheitslücke nicht ausgenutzt. Yahoo würde das Thema Anwendersicherheit sehr ernst nehmen und würde sich weiterhin darum bemühen, potenzielle Bedrohungen zu bekämpfen. Cenzic hat beschrieben, wie es Angreifern gelungen sein könnte, die Sicherheitslücke in Yahoo Mail auszunutzen. Hacker würden demnach die Yahoo-Messenger-Desktop-Anwendung 8.1.0.209 nutzen, während sie mit dem Opfer chatten. Das Opfer bräuchte die Messenger-Unterstützung der neuen Yahoo-Mail-Web-Anwendung. Ein neuer Chat-Tab würde sich im Browser des Opfers öffnen. Während des Chats könnte Angreifer seinen Status auf «unsichtbar» ändern, was auf Opferseite die Meldung «offline» zufolge hätte. Während dieser Status-Änderung könnte der Angreifer eine Nachricht mit Schad-Code in Form der Status-Meldung „Online“ schicken, mit dem Script das im Rahmen von Yahoo-Mail ausgeführt wird. Dies hätte dem Angreifer erlaubt, Zugriff auf die Session-ID des Opfers zu erhalten und damit die Yahoo-Identität zu stehlen sowie auch persönliche Informationen aus dem Yahoo-Konto. Diese Sicherheitslücke hat Millionen Yahoo-Nutzer einem möglichen Identitätsdiebstahl ausgesetzt, meint Khera.
26.06.2008
26.06.2008
26.06.2008