Auf mehrere Sicherheitslücken (1, 2) bei populären Webmail-Anbietern wie Yahoo, Web.de und GMX weisen die österreichischen Online-Sicherheitsexperten SEC Consult hin. Bei allen genannten Diensten lassen sich in HTML-Mails Skripte einschleusen (Cross-Site-Scripting-Attacken).

Alle drei Provider versuchen, JavaScript oder VBScript in Mails durch Filterung gefährlicher Schlüsselbegriffe zu unterbinden, doch scheitern diese Filter an dazwischengeschobenen Null-Bytes, was eine seit längerem bekannte Schwachstelle darstellt. Ein weiterer Schwachpunkt sind sogenannte "XML Data Islands", mit denen Internet Explorer XML-Daten zum Beispiel an eine Tabelle binden kann. Hier kann ein Angreifer Schadcode einschmuggeln, der in <![CDATA[...]]> eingeschlossen ist.

(rb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE