Yahoo hat eine Sicherheitslücke
in seinem WebMail-Dienst
beseitigt. Damit war es möglich, dass ein Angreifer ausführbaren
Script-Code E-Mails einbetten konnte, der ausgeführt wurde, wenn
der Empfänger die Mail mit dem Internet Explorer öffnete. Eigentlich
filtert Yahoo Script-Code aus den Mails heraus. Diese Filter jedoch
liessen sich durch Einbetten von Metazeichen wie dem NUL-Zeichen
umgehen. Laut Sec-Consult hat Yahoo diese Lücke nun geschlossen.
Yahoo filtert offenbar nicht anhand einer Liste erlaubter Zeichen,
sondern versucht potenziell schädlichen Code zu erkennen. Daher
war der Web-Mail-Dienst auch anfällig für den NUL-Byte-Trick. Der
ist zwar bereits seit geraumer Zeit bekannt, wurde aber bislang
von fast allen Herstellern von AV-Software und anderen Sicherheitsprodukten
nicht berücksichtigt.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|