44336

Javascript-Wurm sammelt Adressen bei Yahoo-Mail

13.06.2006 | 16:12 Uhr |

Eine Sicherheitslücke in Yahoo-Mail wird zum Ausspähen von Adressen und zum Mail-Versand ausgenutzt.

Im Web-basierten Mail-Dienst von Yahoo gibt es eine Sicherheitslücke, die das automatische Ausführen von in Mails enthaltenem Javascript-Code ermöglicht. Dieser Code kann zudem auf das Adressbuch eines Benutzers zugreifen. Mehrere Antivirus-Hersteller melden die Entdeckung eines Javascript-Wurms, der genau dies macht.

Der als "Yamanner" bezeichnete Wurm steckt in Mails, die im Anhang verschachtelte HTML-Mails enthalten. Der Betreff der Mails enthält den Text "New Graphic Site" und der Mail-Text besteht lediglich aus dem Satz "Note: forwarded message attached." Das Öffnen einer solchen Mail in Yahoo Mail (ohne den Anhang anzuklicken) genügt bereits, damit der Wurm automatisch aktiv werden kann.

Yamanner durchsucht das Adressbuch nach Yahoo-Adressen (@yahoo.com und @yahoogroups.com) und versendet sich an diese Adressen. Außerdem versucht er Kontakt zu zwei Servern aufzunehmen, von denen jedoch zumindest einer nicht erreichbar ist. An den anderen Web-Server sendet Yamanner eine Liste mit den gesammelten Adressen.

Das Internet Storm Center ( ISC ) berichtet, dass wenige Stunden nach der ersten Version des Wurms eine zweite gesichtet wurde, in der einige Programmierfehler der ersten Fassung behoben sind. Nach der Art, wie der Wurm arbeitet, sollen auch weitere ähnliche Dienste für einen solchen Angriff anfällig sein. Das ISC will bereits mehrere Dienste ausgemacht und deren Betreiber informiert haben. Welche das sind, will das ISC jedoch erst bekannt geben, wenn die Sicherheitslücken gestopft sind.

Das Deaktivieren von Javascript im Browser verhindert zwar die Ausführung des Wurms, jedoch auch das Lesen von Mails bei Yahoo. Yahoo arbeitet bereits an einer Beseitigung der ausgenutzten Schwachstelle und blockiert die meisten dieser Mails. Die neueste Beta-Version des Yahoo Mail-Dienstes ist nicht anfällig. Yamanner-Mails, die von Yahoo-Benutzern kommen und mit normalen Mail-Programmen geöffnet werden, stellen keine Bedrohung dar.

Der Script-Code des Wurms und die Mails, die er verschickt, können leicht modifiziert werden, sodass etwa Betreff und Text auch völlig anders lauten können, ebenso können andere Server und Dienste einbezogen werden.

0 Kommentare zu diesem Artikel
44336