1664838

Experten kritisieren Yahoos Mail-Patch gegen Sicherheitslücke

10.01.2013 | 11:21 Uhr |

Sicherheitsexperten haben Kritik an den von Yahoo Anfang dieser Woche ausgelieferten Patch für seinen Mail-Dienst geäußert. Die Sicherheitslücke werde damit nicht geschlossen.

Yahoo hatte am Montag laut eigenen Angaben eine kürzlich entdeckte Sicherheitslücke in seinem Mail-Dienst gestopft. Die Cross-Site-Scripting-Lücke war vom Sicherheitsexperten Shanin Ramezany entdeckt worden. Durch die Lücke konnten Angreifer die Yahoo-Cookies eines Anwenders stehlen, wenn sie ihr Opfer zuvor dazu brachten, einen entsprechend präparierten Link anzuklicken.

Sowohl Ramezany als auch die Experten des Sicherheitsunternehmen Offensive Security bezeichnen den von Yahoo ausgelieferten Sicherheitspatch als unzureichend. Das Problem werde durch den Patch nicht gelöst. Es sei nur eine kleine Änderung am Proof-of-concept-Code von Ramezany notwendig, um die Sicherheitslücke auch weiterhin auszunutzen, heißt im Blog von Offensive Security .

In einem Video demonstriert Offensive Security, wie eine Attacke auf die Sicherheitslücke funktioniert. Die genaueren Details werden natürlich nicht verraten, um keine Anleitung für die Ausnutzung der Sicherheitslücke zu liefern. Offensive Security empfiehlt den Nutzern des Mail-Dienstes von Yahoo vorsichtig beim Anklicken von Links in Mails zu sein, bis Yahoo die Lücke vollständig behoben hat.

0 Kommentare zu diesem Artikel
1664838