Schwachstelle auf Yahoo-Web-Site erlaubt Diebstahl von Account-Informationen

Eine Sicherheitslücke auf einer Web-Seite von Yahoo haben sich Cyber-Kriminelle zunutze gemacht. Sie erlaubt das Einspielen von Javascript-Code (Code Injection), über den wiederum Authentifizierungs-Cookies von Yahoo-Nutzern ausgelesen werden.

Entdeckt haben das Loch Nutzer der Security-Toolbar der Internet-Sicherheits- und -Beratungsfirma Netcraft. Die Schwachstelle macht Yahoos Web-Seite Hotjobs für Cross-Site-Scripting-Angriffe verwundbar.

Über Javascript-Code, den Angreifer auf die Seite einschleusen, können sie die Authentifizierungs-Cookies von Nutzern von Hotjobs stehlen. Die Daten werden laut Netcraft zu einer Web-Site der Cyber-Gangster weitergeleitet und dort »ausgewertet«. Cross-Site-Scripting-Verfahren werden häufig eingesetzt, um Web-Sitzungen von Usern zu »kapern«.

Bereits vor einigen Wochen war Yahoo Ziel einer ähnlichen Attacke. Damals nutzten die Angreifer eine Schwachstelle auf ychat.help.yahoo.com als Einstiegspunkt.

In beiden Fällen konnten sich die Hacker Zugang zu den E-Mails von Yahoo-Nutzern verschaffen. Dazu reichte es aus, dass der Nutzer die gehackte Web-Seite besuchte. Netcrafts Antiphishing-Toolbar schützt vor solchen Angriffen.