Yahoo behebt die Sicherheitslücke, durch die Hacker E-Mails abhören können
Inhaltsverzeichnis:
Video: Yahoo Russia Probe: Russian spies charged over Yahoo emails hack 2024
Yahoo hat einen Fehler in seinem Mail-Dienst behoben, der Hackern das Abhören von Benutzer-E-Mails fast ein Jahr nach der Entdeckung und Behebung desselben Fehlers ermöglicht hätte. Jouko Pynnonen aus Finnland erhielt 10.000 US-Dollar von Yahoo für die Offenlegung der neuen Sicherheitsanfälligkeit, die Yahoo im letzten Monat behoben hat.
Der Fehler betraf einen Cross-Site-Scripting-Angriff, bei dem ein Angreifer die Berechtigung erhielt, die E-Mails eines Benutzers zu lesen oder einen Virus zu erstellen, um Yahoo Mail-Konten zu infizieren. Pynnonen erklärte, dass ein Benutzer die E-Mail eines Angreifers anzeigen muss, damit der Fehler funktioniert.
Der Fehler ähnelte einem alten Yahoo Mail-Fehler, den Pynnonen im vergangenen Jahr entdeckt hatte und der Hackern die vollständige Kontrolle über ein Yahoo Mail-Konto ermöglichen könnte.
Mängel in Yahoo-Filtern
Pynnonen führte einen Mangel im Yahoo-Filter für HTML-Nachrichten als Schuld an der jüngsten Sicherheitsanfälligkeit an. Der Filter blockiert schädlichen Code im Browser des Benutzers. Nach Angaben des Forschers konnte der Filter nicht alle schädlichen Datenattribute erfassen. Ein Hacker kann dann bösartiges JavaScript ausführen, indem er eine benutzerdefinierte E-Mail an das Opfer sendet.
Der Forscher entdeckte den Fehler in der E-Mail-Erstellungsansicht, in der verschiedene Anhangsoptionen seine Aufmerksamkeit auf potenzielle Fehler bei der grundlegenden HTML-Filterung richteten. Pynnonen erstellte daraufhin eine E-Mail mit verschiedenen Anhängen und schickte die Nachricht an eine externe Mailbox. Bei der Überprüfung des in der E-Mail enthaltenen HTML- Rohmaterials erregten einige böswillige Attribute seine Aufmerksamkeit.
„Was mir aufgefallen ist, waren die Daten-HTML-Attribute. Zunächst wurde mir klar, dass meine letztjährige Anstrengung, die vom Yahoo-Filter zugelassenen HTML-Attribute aufzulisten, nicht alle erfasst hat. “
Pynnonen hielt es für möglich, mehrere HTML-Attribute einzubetten, die den HTML-Filter von Yahoo durchlaufen würden. Er fand schließlich einen pathologischen Fall, nachdem er eine E-Mail mit missbräuchlichen * Datenattributen verfasst hatte.
Yahoo war Anfang des Jahres unter Beschuss, nachdem Berichten zufolge mindestens 200 Millionen E-Mail-Konten im dunklen Internet verkauft wurden.
Lesen Sie auch:
- So melden Sie sich mit einem Yahoo-Konto bei Windows 10 Mail an
- Die Yahoo Mail-App für Windows 10 synchronisiert jetzt Kontakte mit Microsoft People
Mit der Chrome-Sicherheitslücke können Hacker Benutzerdaten über PDF-Dateien sammeln
Eine aktuelle Zero-Day-Sicherheitsanfälligkeit in Chrome, die PDF-Dokumente ausnutzt, ermöglicht es Angreifern, vertrauliche Daten zu sammeln, wenn Benutzer den Browser zum Anzeigen von PDF-Dateien verwenden.
Durch die Sicherheitslücke von Lenovo werden 36 TB an vertraulichen Informationen angezeigt
Lenovo hat die Sicherheitslücke mit hohem Schweregrad bestätigt, durch die 36 TB an vertraulichen Finanzinformationen verloren gegangen sind. Sie sollten das neueste Firmware-Update so bald wie möglich installieren.
Microsoft-Vertragspartner können Ihre Skype-Anrufe abhören
Microsoft verwendet möglicherweise menschliche Auftragnehmer, um Ihre Skype-Audioanrufe abzuhören. Das Unternehmen verfolgt Ihre Sprachbefehle auf Cortana.
