Eine XSS-Lücke war in der mobilen Webseite von Yahoo vorhanden, mit der Webbrowser beliebigen Code in E-Mails ausführten. Dazu mussten die Nutzer die E-Mail nicht einmal öffnen. Ibrahim Raafat, Penetrationstester und Entdecker der Lücke, hat erläutert, dass allein der Empfang ausreicht, damit der Code ausgeführt wird. In einem Video hat er den Angriff demonstriert.

Am 11. November 2015 wies Raafat eigenen Angaben zufolge Yahoo auf die Schwachstelle hin. Am 21. November 2015 habe der Anbieter die Lücke geschlossen. Angreifer hätten bis zu diesem Zeitpunkt auf vergleichsweise einfachen Weg Schadcode auf Systemen ausführen können. Noch ist nicht bekannt, ob es derartige Übergriffe gegeben hat.

Im Zuge des Bug-Bounty-Programms hat Yahoo den Sicherheitsforscher mit einer Geldprämie entlohnt.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE