News 26.06.2008, 08:15 Uhr

Yahoo-User wurden ausspioniert

Eine Schwachstelle hat Millionen Yahoo-Anwender dem Risiko des Identitätsdiebstahls ausgesetzt.
Laut Yahoo wurde eine Sicherheitslücke in Yahoo Mail beseitigt, die es Angreifern eventuell ermöglicht hätte, die Yahoo-Identität des Opfers zu stehlen und Zugang zu deren privaten Daten zu erhalten. Die Schwachstelle wurde im vergangenen Monat von der Sicherheitsexpertin Cenzic entdeckt. Das zugrunde liegende Problem soll eine Cross-Site-Scripting-Lücke (XSS) gewesen sein. Diese betraf die aktuellen Versionen des Yahoo-Messengers und Yahoo-Mail-Clients Version 9. Letzterer befindet sich noch in der Betaphase. Cenzics stellvertretender Marketing-Chef Mandeep Khera bemerkte, dass die Korrektur der XSS-Schwachstelle mit Veränderungen auf den Yahoo-Servern verbunden sei. Anwender müssen demnach keine neuen Yahoo-Anwendungen herunterladen. Bisher wisse man nicht ob oder wie viele Nutzer ausspioniert worden sind bevor die Lücke beseitigt wurde. Es könnten Khera zufolge viele gewesen sein.
Eine Sprecherin von Yahoo sagte das Unternehmen wisse um die Sicherheitslücke.Das Problem sei inzwischen jedoch komplett beseitigt worden. Dem Internet-Konzern zufolge wurde die Sicherheitslücke nicht ausgenutzt. Yahoo würde das Thema Anwendersicherheit sehr ernst nehmen und würde sich weiterhin darum bemühen, potenzielle Bedrohungen zu bekämpfen. Cenzic hat beschrieben, wie es Angreifern gelungen sein könnte, die Sicherheitslücke in Yahoo Mail auszunutzen. Hacker würden demnach die Yahoo-Messenger-Desktop-Anwendung 8.1.0.209 nutzen, während sie mit dem Opfer chatten. Das Opfer bräuchte die Messenger-Unterstützung der neuen Yahoo-Mail-Web-Anwendung. Ein neuer Chat-Tab würde sich im Browser des Opfers öffnen. Während des Chats könnte Angreifer seinen Status auf «unsichtbar» ändern, was auf Opferseite die Meldung «offline» zufolge hätte. Während dieser Status-Änderung könnte der Angreifer eine Nachricht mit Schad-Code in Form der Status-Meldung „Online“ schicken, mit dem Script das im Rahmen von Yahoo-Mail ausgeführt wird. Dies hätte dem Angreifer erlaubt, Zugriff auf die Session-ID des Opfers zu erhalten und damit die Yahoo-Identität zu stehlen sowie auch persönliche Informationen aus dem Yahoo-Konto. Diese Sicherheitslücke hat Millionen Yahoo-Nutzer einem möglichen Identitätsdiebstahl ausgesetzt, meint Khera.



Kommentare
Avatar
romansvillage
26.06.2008
Yahoo-User wurden ausspioniertSchwachstelle hat Millionen Yahoo-Anwender dem Risiko des Identitätsdiebstahls ausgesetztdie es Angreifern eventuell ermöglicht hätte, die Yahoo-Identität des Opfers zu stehlenJa was jetzt? Wurde die Yahoo User ausspioniert? Weiss mans nicht, also bestand einfach die Gefahr ausspioniert zu werden? Hat nun die Sicherheitslücke ermöglicht die Identität zu stehlen oder nicht? :confused: Diese News (mindestens die Einleitung) stiftet bei mir Verwirrung :confused:. Die Sicherheitslücke soll in der Betaversion gewesen sein? Na und? Seit wann ist Beta ohne Sicherheitslücken und Bugs? Schreibt ihr jetzt bei jeder Beta-Sicherheitslücke eine News?

Avatar
abu
26.06.2008
Diese News (mindestens die Einleitung) stiftet bei mir Verwirrung Das war beabsichtigt und ist offenbar gelungen. ;) Nur so bringt man doch Leben ins Forum. Man publiziert fortlaufend jeden aufgewärmten Stuss, um die Benutzer zu Diskussion darüber zu animieren. Wenn dabei dann die Kacke so richtig zum Dampfen kommt, kann man ja immer noch den Thread schliessen. :D

Avatar
romansvillage
26.06.2008
Man publiziert fortlaufend jeden aufgewärmten Stuss, um die Benutzer zu Diskussion darüber zu animieren. Wenn dabei dann die Kacke so richtig zum Dampfen kommt, kann man ja immer noch den Thread schliessen. :D Ok. [notiz to myself]Keine Kommentare zu News, egal wie doof, unsinig usw. die sind. Am besten die News hier gar nicht mehr lesen [/notiz to myself]