Auf mehrere Sicherheitslücken
(1,
2)
bei populären Webmail-Anbietern wie Yahoo, Web.de und GMX weisen
die österreichischen Online-Sicherheitsexperten SEC
Consult hin. Bei allen genannten Diensten lassen sich in HTML-Mails
Skripte einschleusen (Cross-Site-Scripting-Attacken).
Alle drei Provider versuchen, JavaScript oder VBScript in Mails
durch Filterung gefährlicher Schlüsselbegriffe zu unterbinden, doch
scheitern diese Filter an dazwischengeschobenen Null-Bytes, was
eine seit längerem bekannte Schwachstelle darstellt. Ein weiterer
Schwachpunkt sind sogenannte "XML Data Islands", mit denen Internet
Explorer XML-Daten zum Beispiel an eine Tabelle binden kann. Hier
kann ein Angreifer Schadcode einschmuggeln, der in <![CDATA[...]]>
eingeschlossen ist.
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|