Yahoo hat eine Sicherheitslücke in seinem WebMail-Dienst beseitigt. Damit war es möglich, dass ein Angreifer ausführbaren Script-Code E-Mails einbetten konnte, der ausgeführt wurde, wenn der Empfänger die Mail mit dem Internet Explorer öffnete. Eigentlich filtert Yahoo Script-Code aus den Mails heraus. Diese Filter jedoch liessen sich durch Einbetten von Metazeichen wie dem NUL-Zeichen umgehen. Laut Sec-Consult hat Yahoo diese Lücke nun geschlossen.

Yahoo filtert offenbar nicht anhand einer Liste erlaubter Zeichen, sondern versucht potenziell schädlichen Code zu erkennen. Daher war der Web-Mail-Dienst auch anfällig für den NUL-Byte-Trick. Der ist zwar bereits seit geraumer Zeit bekannt, wurde aber bislang von fast allen Herstellern von AV-Software und anderen Sicherheitsprodukten nicht berücksichtigt.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE