Yahoo dicht ernstig lek in webmaildienst
Gepubliceerd: Donderdag 17 augustus 2006
Auteur: Evan Schaafsma
Yahoo heeft een kwetsbaarheid in zijn maildienst verholpen waarmee kwaadwillenden accounts konden kapen en schade konden aanrichten.
"We hebben een oplossing voor de bug gemaakt en deze wereldwijd ingezet. Gebruikers van Yahoo Mail hoeven geen actie te ondernemen om zich tegen de kwetsbaarheid te beschermen", aldus Yahoo-woordvoerster Kelley Podboy.
De kwetsbaarheid werd begin augustus ontdekt door het Israëlische beveiligingsbedrijf Avnet. Het probleem betrof de manier waarop Yahoo's maildienst met bijlagen omgaat. Door een gecodeerde html-bijlage te maken, was het mogelijk om Yahoo's beveiliging te omzeilen en een kwaadaardige Javascript-code uit te voeren, zo meldt Roni Bachar van Avnet.
Door het lek kon de Javascript-code uitgevoerd worden bij het openen van het e-mailbericht, ook al werd de bijlage niet geopend. Tevens was het mogelijk om de cookies van Yahoo Mail-gebruikers te stelen, waardoor dieven toegang konden krijgen tot de map met inkomende e-mail.
Volgens Bachar konden door het lek te misbruiken geavanceerde aanvallen met bijvoorbeeld wormen en keyloggers worden uitgevoerd. Volgens de Avnet-medewerker is er echter geen exploit voor het gat in de maildienst ontdekt.
