“Cenzic identificeert grote kwetsbaarheid in Yahoo! Mail”

Door: Forus-P bv  30-08-2008

Deze Cross-Site Scripting kwetsbaarheid stelt hackers in staat Yahoo! identiteiten te stelen en toegang te krijgen tot gebruikersgevoelige en vertrouwelijke informatie. Cenzic analisten hebben Yahoo gewaarschuwd voor deze kwetsbaarheid, waarna Yahoo deze kwetsbaarheid direct opgelost heeft.

Onderzoekers van Cenzic ontdekten de cross-site scripting (XSS) kwetsbaarheid in Yahoo! Mail. De kwetsbaarheid werd ontdekt in een desktop-applicatie van Yahoo! Messenger. Als een hacker met succes van deze kwetsbaarheid gebruik gemaakt zou hebben, dan had deze actieve toegang tot de account van het slachtoffer kunnen verkrijgen door middel van het stelen van sessie-id's. Een aanvaller kon daarna ook operaties uitvoeren in Yahoo! Mail.

"Deze kwetsbaarheid werd blootgesteld aan miljoenen Yahoo! gebruikers met de mogelijkheid tot diefstal van hun identiteit," zei Mandeep Khera, vice president van marketing voor Cenzic. "Gelukkig werd deze kwetsbaarheid door speciale deskundigen van Cenzic ontdekt. De enige taak van deze groep is het uitvoeren van onderzoek naar kwetsbaarheden in diverse web-applicaties. Zoals in alle gevallen wanneer Cenzic kwetsbaarheden vaststelt, werkte het team van Cenzic vervolgens samen met Yahoo!”

Kwetsbaarheidbeschrijving
De aanvaller maakt gebruik van de Yahoo! Messenger desktop applicatie 8.1.0.209 om met het slachtoffer te chatten en wanneer het slachtoffer de Messenger gebruikt in de nieuwe Yahoo! Mail Web applicatie, zal dit een nieuwe chat-tab in de browser van het slachtoffer openen. Tijdens het chatten kan de aanvaller zijn status veranderen in "onzichtbaar", waardoor een boodschap "offline" in de chat-tab van het slachtoffer zal komen te staan. De kwetsbaarheid treedt op wanneer de aanvaller de status veranderd, en daarna een bericht stuurt met een string in de vorm van een "online statusbericht", waarna het script zal worden uitgevoerd in Yahoo! Mail op de pc van het slachtoffer. Hierdoor kon een aanvaller actief toegang krijgen tot de sessie-ID van het slachtoffer, en op zijn beurt Yahoo! identiteit stelen met gevoelige persoonlijke informatie die is opgeslagen in hun Yahoo! account.

Over Cenzic
Cenzic is de leider van de nieuwe generatie softwareoplossingen voor het vinden van kwetsbaarheden in web-applicaties. De totale Cenzic suite oplossingen voor beveiliging van web-applicaties bevat voor ondernemingen zowel Security as a Service, voor het testen van één of meerdere toepassingen, tot aan een volledige enterprise-brede oplossing (Cenzic Hailstorm ® Enterprise ARC) voor het effectief beheren van veiligheidsrisico’s van toepassingen van de gehele onderneming.
FORUS-P is met Cenzic Hailstorm het enige bedrijf in de industrie met een complete oplossing voor het beoordelen van web-toepassingen in alle stadia van ontwikkeling tot productie. FORUS-P en Cenzic bieden oplossingen, gericht op financiële diensten, e-retail, high-tech, energie, gezondheidszorg en overheidsectoren, en zijn de meest accurate, alomvattende en uitbreidbare in de industrie.

Voor verdere informatie: FORUS-P, Robert van Manen, directeur
tel. 0481 377265 of 0651278327.
www.applicatiebeveiliging.nl

FORUS-P is de geselecteerde service provider van Cenzic Hailstorm voor de Benelux.