image

Kwaadaardige e-mail kon Yahoo Mail-accounts overnemen

dinsdag 19 januari 2016, 11:35 door Redactie, 3 reacties

Yahoo heeft begin deze maand een ernstige kwetsbaarheid in Yahoo-webmail gedicht waardoor een aanvaller accounts kon overnemen of e-mailinstellingen kon aanpassen door een kwaadaardige e-mail te versturen. Het ging om een cross-site scripting-probleem in het html-filter.

Yahoo Mail gebruikt een html-filter om e-mailberichten met html op mogelijke kwaadaardige code te filteren. Door een probleem in het filter was het toch mogelijk om kwaadaardige JavaScriptcode in een e-mail te verbergen, die automatisch werd uitgevoerd zodra de gebruiker het bericht opende. Via de JavaScriptcode kon het account worden overgenomen, instellingen worden veranderd en e-mails zonder kennis van de gebruiker worden doorgestuurd.

Yahoo werd op 26 december vorig jaar over het probleem ingelicht en rolde op 6 januari van dit jaar een oplossing uit. De Finse onderzoeker Jouko Pynnönen die het probleem meldde kreeg voor zijn melding 10.000 dollar. Het probleem speelde alleen in de webmailclient van Yahoo, de mobiele app was niet kwetsbaar. Yahoo Mail heeft zo'n 300 miljoen e-mailaccounts en is daarmee één van de grootste e-mailaanbieders ter wereld.

Reacties (3)
19-01-2016, 14:04 door Anoniem
Je plaatst de HTML van een e-mail in een webpagina. Dat levert een kwetsbaarheid op. Die probeer je dan weer te blokkeren. Elk foutje in die blokkade zet die kwetsbaarheid weer open.

Plaats de HTML van een e-mail niet in een webpagina, toon hem in een lokaal venster waarin voor de opmaak wel HTML ondersteund wordt maar waarin een JavaScript-engine domweg niet aanwezig is. Dan hoef je XSS niet te blokkeren, het is om te beginnen al niet van toepassing. Ook allerlei andere ellende kan je op die manier buitensluiten.

Het lijkt soms wel alsof men in de softwareindustrie met een onstuitbare gretigheid alles wat men maar door elkaar kan laten lopen ook echt door elkaar laat lopen. Men noemt het integratie maar het is verwevenheid, verwevenheid die maakt dat iets dat mis kan gaan problemen geeft in een onnodig groot domein. En zoals zo vaak worden de ontwikkelingen eenzijdig aangedreven door voordelen die men ziet en niet door nadelen, daar wordt een pleistertje opgeplakt dat niet altijd goed blijft zitten. Men gedraagt zich alsof genezen beter is dan voorkomen.
19-01-2016, 16:58 door Anoniem
Door Anoniem:

Het lijkt soms wel alsof men in de softwareindustrie met een onstuitbare gretigheid alles wat men maar door elkaar kan laten lopen ook echt door elkaar laat lopen. Men noemt het integratie maar het is verwevenheid, verwevenheid die maakt dat iets dat mis kan gaan problemen geeft in een onnodig groot domein.

"Jij kan toch programmeren? Maak dan even X of Y." Logisch, dat zo iemand aansluit bij wat hij/zij al kent.

Ik heb er geen ervaring mee, maar is dit nu een gevolg van Agile Development: zo snel mogelijk leveren wat de klant vraagt, niet denken, maar doen (als ik het goed begrijp).
19-01-2016, 22:01 door Anoniem
Door Anoniem:
Ik heb er geen ervaring mee, maar is dit nu een gevolg van Agile Development: zo snel mogelijk leveren wat de klant vraagt, niet denken, maar doen (als ik het goed begrijp).

Daar begrijp je inderdaad niet veel van. Het heeft ook geen barst met het onderwerp te maken, maar bij een obsessie wordt nu eenmaal elke kapstok gebruikt die je tegenkomt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.