1. Startseite
  2. Forenübersicht
  3. Dashboard
  4. Forum
    1. Unerledigte Themen
  5. Tipps und Tricks
    1. Windows 11 Tipps
    2. Windows 10 Tipps
    3. Windows 8 Tipps
    4. Windows 7 Tipps
    5. Windows Vista Tipps
    6. Windows XP Tipps
    7. MS Office Tipps
    8. FritzBox Tipps
    9. Workshops - Anleitungen
  • Anmelden oder registrieren
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Seiten
  • Forum
  • Erweiterte Suche
  1. win-tipps-tweaks.de Community
  2. Aktuelle News
  3. News

Sicherheitslücken bei Yahoo, web.de, GMX

  • Anonymous
  • 3. Dezember 2005 um 17:51
  • Geschlossen
  • Anonymous
    ehemalige Gäste/Mitglieder
    Reaktionen
    2
    Punkte
    157.137
    Beiträge
    26.959
    • 3. Dezember 2005 um 17:51
    • #1

    Sicherheitslücken bei Webmailern

    Online-Sicherheitsexperte SEC Consult weist auf mehrere Sicherheitslücken (1, 2) bei folgenden Webmail-Anbietern hin:

    Yahoo, Web.de und GMX

    Bei allen genannten Diensten lassen sich in HTML-Mails Skripte einschleusen. Durch diese Cross-Site-Scripting-Attacken (XSS) lassen sich dann kinderleicht Account-Daten des Empfängers auslesen, nicht gerade im Sinne des Erfinders.

    Alle drei Provider versuchen, JavaScript oder VBScript in Mails durch Filterung gefährlicher Schlüsselbegriffe (etwa "script" oder "javascript") zu unterbinden, doch scheitern diese Filter an dazwischengeschobenen Null-Bytes – eine seit längerem bekannte Schwachstelle. Ein weiterer Schwachpunkt sind "XML Data Islands", mit denen Internet Explorer XML-Daten zum Beispiel an eine Tabelle binden kann. Hier kann ein Angreifer Schadcode einschmuggeln, der in <![CDATA[...]]> eingeschlossen ist.

    SEC Consult steht nach eigenen Angaben bereits seit längerem in Kontakt mit den genannten Mail-Diensten, doch "habe sich die Situation kaum geändert, da die zuständigen Sicherheitsleute nicht viel Interesse an der Sache zeigen". Man hört wohl nicht gerne auf Österreicher...

    SEC Consult empfiehlt den Providern dringend, alle HTML-Anweisungen mit Ausnahme weniger harmloser Tags zu entfernen – also per Whitelist anstatt per Blacklist zu filtern.

    Als den für solche Angriffe anfälligsten Browser schätzt SEC Consult Microsoft Internet Explorer ein, von dessen Verwendung sie abraten. Eine zuverlässige Sicherheitsmaßnahme für die Anwender ist das Abschalten von JavaScript beim Abruf der E-Mails per Web-Frontend.

    Quelle: http://www.heise.de

Registrierung

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen

Letzte Beiträge

  • Wie finde ich die besten Fototapeten für mein Zuhause?

    LukasSchmidt 31. März 2025 um 16:24
  • Was habt ihr euch zuletzt gekauft?

    LarsKlars 3. März 2025 um 10:08
  • Word 2010: Silbentrennung aktivieren

    Mannitwo 28. November 2024 um 16:24
  • Die Kunst des Einschenkens von Bier.

    Mannitwo 22. November 2024 um 17:45
  • "Foundation" bei Apple TV+: Zwei Folgen so teuer wie ein Kinofilm

    kinleyperson 17. September 2024 um 11:35

Benutzer online in diesem Thema

  • 1 Besucher
  1. Kontakt
  2. Impressum
  1. Datenschutzerklärung
  2. Nutzungsbedingungen
Community-Software: WoltLab Suite™ 6.0.22