Über eine Schwachstelle waren Angreifer in der Lage, Yahoo-Mail-Nutzern E-Mails mit Schadcode unterzujubeln, den Webbrowser ohne zu Fragen ausführten. Zu Übergriffen soll es nicht gekommen sein.
In allen Versionen des Webmail-Dienstes von Yahoo Mail klaffte eine XSS-Lücke, über die Angreifer Nutzern E-Mails mit Schadcode unterjubeln konnten, warnt der Sicherheitsforscher Jouko Pynnönen. Dabei soll der Code automatisch ausgeführt worden sein, wenn ein Nutzer eine präparierte E-Mail öffnete.
Im schlimmsten Fall hätte ein Angreifer ein Konto übernehmen können. App-Nutzer sollen davon nicht bedroht gewesen sein. Yahoo hat die Lücke eigenen Angaben zufolge mittlerweile geschlossen. Es soll keine Übergriffe gegeben haben. Schadcode-Filter austricksen
Pynnönen stieß auf die Schwachstelle, als er die HTML-Filterfunktion von Yahoo Mail untersuchte. Er verschickte eine E-Mail mit allen bekannten HTML Tags über den Service um zu prüfen, was der Filter durchlässt. Dabei fand er heraus, dass dieser zwar Schadcode effizient erkennt und entfernt, unter Umständen aber Code-Reste passieren lässt.
Das konnte der Sicherheitsforscher eigenen Angaben zufolge ausnutzen, um bösartiges JavaScript durch den Filter zu schmuggeln. Ein Webbrowser soll den Code beim Öffnen der präparierten E-Mail automatisch ausgeführt haben. 10.000 US-Dollar für gefundene Lücke
Pynnönen gibt an, Yahoo am 26. Dezember vergangenen Jahres über deren Bug-Bounty-Plattform informiert zu haben. Yahoo versichert, dass sie den Bug am 6. Januar dieses Jahres gefixt haben. Der Kryptologe soll 10.000 US-Dollar für das Melden der Schwachstelle erhalten haben.