Sicherheitslücken bei Webmailern
Online-Sicherheitsexperte SEC Consult weist auf mehrere Sicherheitslücken (1, 2) bei folgenden Webmail-Anbietern hin:
Yahoo, Web.de und GMX
Bei allen genannten Diensten lassen sich in HTML-Mails Skripte einschleusen. Durch diese Cross-Site-Scripting-Attacken (XSS) lassen sich dann kinderleicht Account-Daten des Empfängers auslesen, nicht gerade im Sinne des Erfinders.
Alle drei Provider versuchen, JavaScript oder VBScript in Mails durch Filterung gefährlicher Schlüsselbegriffe (etwa "script" oder "javascript") zu unterbinden, doch scheitern diese Filter an dazwischengeschobenen Null-Bytes – eine seit längerem bekannte Schwachstelle. Ein weiterer Schwachpunkt sind "XML Data Islands", mit denen Internet Explorer XML-Daten zum Beispiel an eine Tabelle binden kann. Hier kann ein Angreifer Schadcode einschmuggeln, der in <![CDATA[...]]> eingeschlossen ist.
SEC Consult steht nach eigenen Angaben bereits seit längerem in Kontakt mit den genannten Mail-Diensten, doch "habe sich die Situation kaum geändert, da die zuständigen Sicherheitsleute nicht viel Interesse an der Sache zeigen". Man hört wohl nicht gerne auf Österreicher...
SEC Consult empfiehlt den Providern dringend, alle HTML-Anweisungen mit Ausnahme weniger harmloser Tags zu entfernen – also per Whitelist anstatt per Blacklist zu filtern.
Als den für solche Angriffe anfälligsten Browser schätzt SEC Consult Microsoft Internet Explorer ein, von dessen Verwendung sie abraten. Eine zuverlässige Sicherheitsmaßnahme für die Anwender ist das Abschalten von JavaScript beim Abruf der E-Mails per Web-Frontend.
Quelle: http://www.heise.de