19.01.2016
Fieser XSS-Bug
Cross-Site-Scripting-Lücke in Yahoo Webmail
Autor: Stefan Bordel
Evan Lorne / Shutterstock.com
Ein kritischer XSS-Bug im Webmail-Client von Yahoo erlaubte Angreifern, Nutzerkonten zu übernehmen, Einstellungen zu ändern und E-Mails zu versenden. Der Fehler wurde mittlerweile von Yahoo behoben.
Yahoos Webmail-Client war von einem kritischen XSS-Bug (Cross-Site-Scripting) betroffen. Entdeckt hatte den Fehler der finnische Sicherheitsforscher Jouko Pynnönen - ihm gelang es, schädlichen JavaScript-Code über eine manipulierte E-Mail zu verbreiten. Sobald ein Nutzer die manipulierte E-Mail aufruft, werde der Schadcode ausgeführt. Angreifer könnten dadurch etwa das Konto des Nutzers übernehmen, Einstellungen ändern oder E-Mails versenden.
Normalerweise sollte Yahoo Mail den Schadcode automatisch ausfiltern bevor die E-Mail dargestellt wird. Allerdings arbeiteten diese Filter nicht ganz fehlerfrei. Pynnönen entdeckte die Lücke über eine simple Brute-Force-Methode, indem er eine E-Mail mit allen bekannten HTML Tags und Attributen versendete. Im Anschluss überprüfte Pynnönen, welche Elemente von Yahoos Filtern durchgelassen wurden. Die genaue Funktionsweise der XSS-Sicherheitslücke zeigt folgendes Video:
Yahoo reagiert schnell
Pynnönen hatte den Fehler am 26. Dezember 2015 an Yahoo weitergeleitet, bereits am 6. Januar 2016 wurde der Bug dann gefixt. Zu einem Missbrauch der Sicherheitslücke soll es nicht gekommen sein. Yahoo belohnte den Sicherheitsforscher mit einer Bug-Bounty in Höhe von 10.000 US-Dollar für die Entdeckung des Fehlers.
GigaTV Home Sound
Vodafone bringt eine TV-Box mit integrierten Lautsprechern
Bisher gab es bei Vodafone getrennte TV-Boxen für Kabel- und IPTV-Kunden. Die neue Generation von GigaTV bietet beide Zugänge, dazu kommt eine Version mit integrierten Lautsprechern.
>>
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
MagentaTV One
Die Telekom erneuert ihre TV-Box
Die Telekom bringt die zweite Generation ihrer Box für das Streaming: Die MagentaTV One bietet mehr Leistung und eine überarbeitete Fernbedienung.
>>
Übersetzungshilfen
Cleverer Dolmetscher - so hilft das Web beim Übersetzen
Mit Deutsch allein bleibt der grösste Teil des Internets unverständlich. Glücklicherweise gibt es in jedem Browser Übersetzungswerkzeuge. Wir zeigen Ihnen, wie Sie in Firefox, Chrome und Safari Websites einfach übersetzen.
>>