AppBlogHilfeonvista bank

Schwerer mailbug bei web.de


Seite 1 von 1
Neuester Beitrag: 26.06.00 01:24
Eröffnet am:26.06.00 01:24von: b2210Anzahl Beiträge:1
Neuester Beitrag:26.06.00 01:24von: b2210Leser gesamt:491
Forum:Börse Leser heute:1
Bewertet mit:


 

Optionen

Antwort einfügen
zum neuesten Beitrag
Börsenforum

417 Postings, 8868 Tage b2210Schwerer mailbug bei web.de

 
  
    #1
26.06.00 01:24


                           Schwerwiegender Mailbug bei Web.de
                 
                 


                Angreifer können mit einfachem Trick fremde Mail-Accounts                   öffnen und benutzen

                Der Freemail-Service von Web.de hat ein schwerwiegendes                   Sicherheitsloch. Potenziellen
                Angreifern ist es durch einen einfachen Trick möglich, in                  Accounts einzuloggen, das Adressbuch
                auszuspionieren, E-Mails in fremden Namen zu senden und zu                  empfangen.

                Die einzige Voraussetzung: Als Betreiber einer Site muss                  man Einblick in die Logfiles haben. Es
                genügt, Mails an einen Freemail-Account von Web.de zu                  versenden und den Empfänger
                aufzufordern, die eigene Site unter dem angegebenen Link zu                  besuchen. Klickt dieser auf den
                Link, so sieht der Angreifer im Logfile die von Web.de                  übergebene Referer-URL. Wird diese in
                einen beliebigen Browser eingegeben, landet der Angreifer                  direkt im geöffneteten E-Mail-Account
                des jeweiligen Users. Dort kann er so lange verbleiben, bis                  der User sich selbst ausloggt.
                Schließt dieser nur das Fenster, verbleiben mindestens 20                  Minuten, in denen der Account noch
                benutzt werden kann.

                Der Fehler ist einfach nachvollziehbar: Web.de versendet                  als Referer genau die URL, die der User
                während seines Besuchs selber im Browserfenster stehen hat.                  Mit dieser Adresse können
                fremde Personen von verschiedenen Rechnern aus auf den                  Account zugreifen. Offensichtlich ist
                bei Web.de die mehrfache Benutzung eines einzigen                  Mail-Postfachs zur selben Zeit möglich.

                ZDNet wurde von einem Web.de-Kunden auf den schweren Bug                  aufmerksam gemacht. In
                mehreren Test mit Mailprogrammen konnte er von ZDNet                  bestätigt werden, unabhängig, welche
                Server und Links man verwendet.

                In einer einer Stellungnahme am späten Freitag Abend                  erklärte Web.de-Manager Mike Theobald
                gegenüber ZDNet: "Uns ist das Problem bis dato noch                  unbekannt". Man werde versuchen, den
                Bug so schnell wie möglich zu beheben. Der Provider hat                  nach eigenen Angaben mehr als 1,2
                Millionen Freemail-Kunden "und täglich kommen rund 7.800                  neue Anmeldungen dazu".
                 
                00:10 24.06, ZDNet
                © ZDNet  

Optionen

Antworten
Boardmail an "b2210"
Wertpapier: WEB DE AG ORD

   Antwort einfügen - nach oben