Schwerer mailbug bei web.de

Beitrag: 1
Zugriffe: 174 / Heute: 1
WEB DE AG OR. kein aktueller Kurs verfügbar
 
Schwerer mailbug bei web.de b2210

Schwerer mailbug bei web.de

 
#1


                           Schwerwiegender Mailbug bei Web.de
                 
                 


                Angreifer können mit einfachem Trick fremde Mail-Accounts                   öffnen und benutzen

                Der Freemail-Service von Web.de hat ein schwerwiegendes                   Sicherheitsloch. Potenziellen
                Angreifern ist es durch einen einfachen Trick möglich, in                  Accounts einzuloggen, das Adressbuch
                auszuspionieren, E-Mails in fremden Namen zu senden und zu                  empfangen.

                Die einzige Voraussetzung: Als Betreiber einer Site muss                  man Einblick in die Logfiles haben. Es
                genügt, Mails an einen Freemail-Account von Web.de zu                  versenden und den Empfänger
                aufzufordern, die eigene Site unter dem angegebenen Link zu                  besuchen. Klickt dieser auf den

                Link, so sieht der Angreifer im Logfile die von Web.de                  übergebene Referer-URL. Wird diese in
                einen beliebigen Browser eingegeben, landet der Angreifer                  direkt im geöffneteten E-Mail-Account
                des jeweiligen Users. Dort kann er so lange verbleiben, bis                  der User sich selbst ausloggt.
                Schließt dieser nur das Fenster, verbleiben mindestens 20                  Minuten, in denen der Account noch
                benutzt werden kann.

                Der Fehler ist einfach nachvollziehbar: Web.de versendet                  als Referer genau die URL, die der User
                während seines Besuchs selber im Browserfenster stehen hat.                  Mit dieser Adresse können
                fremde Personen von verschiedenen Rechnern aus auf den                  Account zugreifen. Offensichtlich ist
                bei Web.de die mehrfache Benutzung eines einzigen                  Mail-Postfachs zur selben Zeit möglich.

                ZDNet wurde von einem Web.de-Kunden auf den schweren Bug                  aufmerksam gemacht. In
                mehreren Test mit Mailprogrammen konnte er von ZDNet                  bestätigt werden, unabhängig, welche
                Server und Links man verwendet.

                In einer einer Stellungnahme am späten Freitag Abend                  erklärte Web.de-Manager Mike Theobald
                gegenüber ZDNet: "Uns ist das Problem bis dato noch                  unbekannt". Man werde versuchen, den
                Bug so schnell wie möglich zu beheben. Der Provider hat                  nach eigenen Angaben mehr als 1,2
                Millionen Freemail-Kunden "und täglich kommen rund 7.800                  neue Anmeldungen dazu".
                 
                00:10 24.06, ZDNet
                © ZDNet


Börsenforum - Gesamtforum - Antwort einfügen - zum ersten Beitrag springen

Neueste Beiträge aus dem WEB DE AG ORD Forum