Thema: Yahoo ...

[Jürgen]

Yahoo hat eine neue Version des Yahoo Messengers veröffentlicht, die zwei Sicherheitsprobleme beseitigt. Die erste Lücke ermöglicht es einem Angreifer, seinem Opfer ein Programm mit einer gefälschten Dateierweiterung unterzujubeln und es so dazu zu bewegen, ein vermeintliches Bild anzunehmen und dann auch zu öffnen. Das Dateiübertragungsfenster bricht überlange Dateinamen um, zeigt aber nur die erste Zeile an. Hat der Anwender die standardmäßig aktive Ordneroption "Erweiterungen bei bekannten Dateitypen ausblenden" nicht abgeschaltet, bemerkt er unter Umständen zu spät, dass er kein Bild öffnet, sondern eine Datei startet, die seinen Rechner infizieren könnte.

Die zweite Schwachstelle kommt nur zum Tragen, wenn Anwender mit eingeschränkten Rechten an einem System arbeiten und der Yahoo Messenger nicht in das Default-Verzeichnis "Programme" installiert ist. Dann nämlich stimmen die Zugriffsrechte des Installationsverzeichnisses nicht und ein Anwender kann dort ein Programm namens ping.exe ablegen. Beim nächsten Start des Audio Setup Wizard wird dieses Programm dann mit den Rechten des gerade angemeldeten Benutzers -- also möglicherweise denen des Administrators -- ausgeführt.

Beide Schwachstellen sind ab Version 6.0.0.1921 beseitigt, die Yahoo zum Download bereitstellt.

Siehe dazu auch:

    * Update Informationen von Yahoo
    * Advisory zu gefälschten Dateinamen von Secunia
    * Advisory zum Audio Setup Wizard von Secunia

(eck/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/56655

[SiLæncer]

Für den Yahoo Messenger ist ein Exploit in der Schwachstellendatenbank von Securityfocus aufgetaucht. Der Proof-of-Concept-Exploit soll beim Kopieren von Anwendereingaben in den Speicherbereich eines Prozesses einen Buffer Overflow provozieren. Laut Securityfocus soll ein Angreifer damit eventuell eigenen Code in das System eines Opfers einbringen und starten können. Dazu muss der Angreifer aber in der Kontaktliste des Messengers seines Opfers stehen.

Genauere Angaben sind noch nicht verfügbar, der Fehler tritt wohl aber im Offline Mode auf. heise Security untersucht das Problem derzeit und wird weiter darüber berichten. Betroffen sollen die Yahoo-Messenger-Versionen 4.0, 5.x und 6.0 sein. Ein Patch steht derzeit nicht zur Verfügung. Ein Workaround ist ebenfalls nicht bekannt. Anwender sollten erwägen, alternative Messenger einzusetzen, etwa Trillian, Miranda oder Gaim.

Quelle : www.heise.de

[SiLæncer]

Yahoo hat die neue Beta-Version 0.3b seiner Toolbar für den Standalone-Webbrowser der Mozilla-Foundation unter Windows herausgebracht. Neu in dieser Ausgabe ist nun auch die bislang nur für die Internet-Explorer-Version der Toolbar verfügbare Antispyware-Funktion.

Die Werkzeugleiste gibt dem Surfer Schnellzugriff auf viele Dienste des Portals, unter anderem auf die verschiedenen Suchfunktionen (Web, Video, Verzeichnis, News etc.), auf das E-Mail-Postfach, das Adressbuch und den Kalender. Die neue Antispyware-Funktion setzt wie die Internet-Explorer-Version der Toolbar auf Software von PestPatrol auf. Einer der bekanntesten Vertreter der als Reklametrojaner gestalteten Spyware, die sich mehr oder weniger deutlich erkennbar auf dem PC des Opfers einnistet und dessen Surf-Verhalten überwacht, ist die Firma Claria, früher als Gator bekannt. Dem Opfer solcher Software werden beim Besuch bestimmter Webseiten gezielt die Reklame der Anzeigenkunden des Spyware-Herstellers auf dem Bildschirm dargestellt.

Über die Update-Funktion der Firefox-Extensions ist die neue Version der Yahoo-Toolbar für Firefox bislang nicht zu bekommen -- der Versuch, die Toolbar 0.2b auf diesem Weg zu aktualisieren, scheitert mit einer Fehlermeldung oder der Mitteilung, es sei keine neue Version gefunden worden. Nach dem Download von den Yahoo-Seiten funktioniert aber der normale Installationsweg. Ab und zu allerdings gibt es momentan noch Probleme bei der Initialisierung des Spyware-Scanners.

Quelle und Links : http://www.heise.de/newsticker/meldung/58284

[SiLæncer]

Bankkunden werden gegenüber Phishing-Versuchen misstrauischer und so versuchen die Täter auf Umwegen wertvolle Zugangsdaten zu erhalten. So berichten die Websense Security Labs von einer Masche, die den Dienst "Yahoo Fotos" nutzt, um bei den Zielpersonen eines Phishing-Angriffs kein Misstrauen zu wecken.

Die Täter versenden dazu Mails oder Mitteilungen über Instant Messenger, in denen sich ein vermeintlicher Freund oder Bekannter bei dem potenziellen Opfer meldet. Er gibt vor Fotos von einem kürzlichen Treffen, etwa einer Geburtstagfeier oder einem Klassentreffen ins Web gestellt zu haben. Die soll sich der Angeschriebene bei Yahoo anschauen.

Das Opfer fragt sich möglicherweise, wer das wohl sein könnte und wird neugierig. Es folgt dem Link und landet auf einer gefälschten Login-Seite von "Yahoo Fotos". Hier meldet es sich mit Benutzername und Passwort an, um sich die vermeintlichen Fotos anzusehen. Die vorgetäuschte Anmeldeseite leitet die Eingaben nicht nur an die Datendiebe weiter sondern auch an die echte Yahoo-Site.

Das Opfer wird also tatsächlich bei dem gewünschten Dienst eingeloggt - die Täuschung wird somit weiter aufrecht erhalten. Während der derart Ausgetrickste noch nach den angeblichen Fotos sucht, können die Täter bereits in seiner Yahoo-Identität und den in seinem Profil gespeicherten persönlichen Daten stöbern, um verwertbares zu finden.

In dem von Websense gemeldeten Fall hätte das Opfer noch auf Grund der URL in der Adresszeile des Browsers misstrauisch werden können. Sicherheitslücken in anfälligen Browsern könnten es den Täter jedoch ermöglichen, das manipulierte Anmeldeformular etwa in einem Frameset mit einer legitimen Yahoo-Adresse anzuzeigen. Die benutzte Masche lässt sich auch auf diverse andere Web-Portale anwenden.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/120796/index.html

[SiLæncer]

Yahoo hat eine Schwachstelle in seinem WebMail-Dienst beseitigt, über die ein Angreifer Script-Code so in E-Mails einbetten konnte, dass er ausgeführt wurde, wenn der Empfänger die Mail mit dem Internet Explorer öffnete. Angreifer hätten auf diesem Weg auch bekannte Sicherheitslücken des Microsoft-Browsers ausnutzen können, um etwa Trojaner einzuschleusen. Eigentlich filtert Yahoo Script-Code aus den Mails heraus. Doch die Sicherheitsfirma Sec-Consult fand heraus, dass sich diese Filter durch Einbetten von Metazeichen wie dem NUL-Zeichen umgehen ließen. Laut Sec-Consult hat Yahoo diese Lücke nun geschlossen.

heise Security wies vor etwa einem Monat darauf hin, dass der Internet Explorer Bytes mit dem Wert 0 komplett ignoriert und sich auf diesem Weg Viren-Scanner, Intrusion-Detection-Systeme und andere Schutzinstrumente umgehen lassen. heise Security gelang es damit beispielsweise, längst bekannten und im c't-Browsercheck aufgeführten Schadcode für IE-Lücken an allen Virenscannern und einem Intrusion Prevention System vorbeizuschmuggeln.

Nachdem Yahoo offenbar nicht anhand einer Liste erlaubter Zeichen filtert, sondern statt dessen versucht, potenziell schädlichen Code zu erkennen, war der Web-Mail-Dienst ebenfalls anfällig für den NUL-Byte-Trick. Der ist zwar bereits seit geraumer Zeit bekannt, wurde aber bis auf wenige Ausnahmen bislang von Herstellern von AV-Software und anderen Sicherheitsprodukten nicht berücksichtigt. Wie heise Security bereits in einem Advisory anmerkte, ist es wahrscheinlich, dass sich auch andere Schutzmaßnahmen, die versuchen, ActiveX oder Script-Code zu erkennen, auf diesem Weg umgehen lassen.

Siehe dazu auch:

    * Security Advisory von Sec-Consult
    * Null Problemo auf heise Security
    * NUL-Demos von heise Security (englisch)

Quelle und Links : http://www.heise.de/security/news/meldung/65234

[SiLæncer]

Der Internet-Konzern Yahoo wagt einen ersten Schritt in eine Zukunft ohne klassische Passwörter. Amerikanische Nutzer können bereits ein neuartiges Anmelde-Konzept ausprobieren.

Passwort ausdenken, merken und vergessen: Das ist Usus im Online-Alltag. Yahoo-Nutzer in den USA müssen sich von jetzt an keine Gedanken mehr über ihre Zugangscodes machen. Sie können ab sofort auf automatisch generierte On-Demand-Passwörter setzen. Das teilte das Unternehmen in seinem Blog mit.

Die Umstellung gelingt in den Sicherheitseinstellungen des Yahoo-Kontos. Wollen sich Nutzer künftig einloggen, bekommen sie das On-Demand-Passwort per SMS auf ihr Smartphone geschickt. Der Service ist derzeit ausschließlich für Nutzer aus den USA verfügbar.

Man kennt solche Einmal-Passwörter von einer Zwei-Faktor-Authentifizierung, wie sie etwa Google und Apple einsetzen. Dabei verzichtet Yahoo auf das Hauptpasswort und setzt beim Einloggen alleinig auf automatisch erzeugte Passcodes.

Quelle : www.heise.de

[SiLæncer]

Nutzer, die mobil E-Mails von ihrem Yahoo-Konto abrufen, waren bedroht und Angreifer hätten ihnen ohne viel Aufwand Schadcode unterschieben können.

In der mobilen Webseite von Yahoo Mail klaffte eine XSS-Lücke; Webbrowser führten beliebigen Code in E-Mails aus. Das Kritische dabei war, dass Nutzer die E-Mail noch nicht einmal öffnen mussten. Allein der Empfang reicht aus, dass der Code ausgeführt wird, erläutert der Penetrationstester und Entdecker der Lücke, Ibrahim Raafat. Er demonstriert den Angriff in einem Video.

Raafat wies Yahoo eigenen Angaben zufolge am 11. November 2015 auf die Schwachstelle hin. Der Anbieter habe schnell reagiert und die Lücke am 21. November 2015 geschlossen. Bis zu diesem Zeitpunkt hätten Angreifer auf vergleichsweise simplen Weg Schadcode auf Systemen ausführen können. Ob es derartige Übergriffe gegeben hat, ist aktuell nicht bekannt.

Yahoo hat den Sicherheitsforscher im Zuge des Bug-Bounty-Programms mit einer Geldprämie in nicht bekanntgegebener Höhe entlohnt.

Quelle : www.heise.de