Diebstahl privater Yahoo-Daten

Yahoo Mail: Sicherheitslücke entdeckt und beseitigt

Eine Cross-Site-Scripting-Sicherheitslücke hat möglicherweise Millionen Yahoo-Nutzer dem Risiko des Identitätsdiebstahls ausgesetzt.

Laut Yahoo wurde eine Sicherheitslücke in Yahoo Mail beseitigt, die es Hackern eventuell erlaubt hätte, die Yahoo-Identität des Opfers zu stehlen und Zugang zu deren privaten Daten zu erhalten. Die Schwachstelle wurde im vergangenen Monat von Sicherheitsexperten der Firma Cenzic entdeckt. Das zugrunde liegende Problem soll eine Cross-Site-Scripting-Lücke (XSS) gewesen sein. Diese betraf die aktuellen Versionen des Yahoo-Messengers und Yahoo-Mail-Clients Version 9. Letzterer befindet sich noch in der Betaphase. Cenzics stellvertretender Marketing-Chef Mandeep Khera bemerkte, dass die Korrektur der XSS-Schwachstelle mit Veränderungen auf den Yahoo-Servern verbunden sei. Anwender müssen demnach keine neue Yahoo-Applikationen herunterladen. Bisher wisse man nicht ob oder wie viele Nutzer ausspioniert worden sind bevor die Lücke beseitigt wurde. Es könnten Khera zufolge viele gewesen sein. Eine Sprecherin von Yahoo sagte das Unternehmen wisse um die Sicherheitslücke.

Das Problem sei inzwischen komplett beseitigt worden. Yahoos Kenntnissen zufolge wurde die Sicherheitslücke nicht genutzt und keine Anwender davon beeinträchtigt. Yahoo nähme das Thema Benutzer-Sicherheit sehr ernst und würde sich weiterhin darum bemühen, potenzielle Bedrohungen zu bekämpfen. Cenzic hat beschrieben, wie es ein Angreifer gelungen sein könnte, die Sicherheitslücke in Yahoo Mail auszunutzen. Hacker würden demnach die Yahoo-Messenger-Desktop-Anwendung 8.1.0.209 nutzen während sie mit dem Opfer chatten. Das Opfer bräuchte die Messenger-Unterstützung der neuen Yahoo-Mail-Web-Anwendung. Ein neuer Chat-Tab würde sich im Browser des Opfers öffnen. Während des Chats könnte Angreifer seinen Status auf „unsichtbar“ ändern, was auf Opferseite die Meldung „offline“ zufolge hätte. Während dieser Status-Änderung könnte der Angreifer eine Nachricht mit bösartigen Code in Form der Status-Meldung „Online“ schicken, mit dem Script das im Rahmen von Yahoo-Mail ausgeführt wird. Dies hätte dem Angreifer erlaubt, Zugriff auf die Session-ID des Opfers zu erhalten und damit die Yahoo-Identität zu stehlen sowie auch persönliche Informationen aus dem Yahoo-Konto. Diese Sicherheitslücke hat Millionen Yahoo-Nutzer einem möglichen Identitätsdiebstahl ausgesetzt meinte Khera. (cat)