Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 9 reacties
Bron: Reuters

blikje wormen Yahoo, de grootste e-mailprovider ter wereld, heeft een wormbesmetting opgelopen die volgens het bedrijf momenteel 'een zeer klein aandeel' van de meer dan 200 miljoen gebruikers van de dienst zou teisteren. De worm is 'Yamanner' gedoopt en verscheen als mailtje van de gebruiker 'av3@yahoo.com' met de titel 'New Graphic Site' in de mailboxen van een aantal onfortuinlijke Yahoo-gebruikers. In tegenstelling tot mailwormen die gebruikersinteractie zoals het openen van een attachment vereisen, wordt Yamanner al geactiveerd door een besmet mailtje te openen. De worm maakt hiertoe gebruik van een lek in Yahoo's e-maildienst dat het in staat stelt een stukje Javascript te draaien, waardoor het zichzelf naar alle e-mailcontacten toestuurt die het in de account van de pechvogel aantreft. Deze adressen worden ook naar een server toegestuurd die ze vermoedelijk voor spam-activiteiten zal misbruiken. Verder zou Yamanner geen schade aanrichten. Yahoo zegt reeds actie te hebben ondernomen om de besmetting het hoofd te bieden, maar Symantec vond de dreiging serieus genoeg om er een responsepagina aan te wijden. Het bewuste lek zou niet meer voorkomen in de bčtaversie van Yahoo's e-maildienst. Kort geleden was ook Yahoo's Messenger doelwit van een wormaanval.

Moderatie-faq Wijzig weergave

Reacties (9)

Twee personen die ik ken zijn besmet geraakt.

Het virus/worm bestaat in meerdere variaties, omdat de maker, typefouten had gemaakt, waardoor het uiteindelijke doel van de worm, het versturen van de contactlijst naar een website (www.av3.net), mislukte bij de eerste versies.

Yahoo heeft zo snel mogelijk actie ondernomen door de email te blokkeren, echter het heeft zich zeer snel verspreid. De 2 personen die ik ken, hadden beide een 300+ contactlijst, dus het heeft toch tijd gehad om zich snel te verspreiden.

Het probleem is dat JavaScript verplicht aan moet staan, omdat anders Yahoo mail niet werkt. Zou anders handig zijn als Yahoo een funktie inbouwd, zodat HTML emails omgezet worden naar tekst, of dat elke vorm van XSS uitgeschakelt wordt.

Meer info, inclusief daadwerkelijke worm code @ securityfocus.com

@delenn, het valt wel degelijk onder XSS, lees anders wikipedia.org eventjes door op je gemak. Dit valt onder type-0, maar vooral een type-2 versie, waarbij het hotmail type-2 voorbeeld zeer veel overeenkomsten heeft.
Het probleem is dat dit geen XSS is... de javascript wordt allemaal vanuit de yahoo.com site gedaan, waardoor alles wat door de filtering komt zo'n beetje mag.

Maar aan de hand van het artikel over die myspace worm is er wel een redelijke boel aan te doen.
Ben ik benieuwd hoe die code werkt...
Het kan namelijk ook een Internet Explorer probleem zijn, zoals bij MySpace gebeurt is. MSIE voert namelijk ook dingen uit als:

<img src="java
script
:alert('test')">

en

<span style="color: expression(alert('test'))">

Yahoo kan heel goed slachtoffer geworden zijn van deze MSIE bugs. Dit is overigens geen geheime informatie, maar eerder handig om te weten als je een webappliatie bouwen. Die moet je dus ook beschermen zodat mensen je site niet via deze bugs exploiten. Denk bijvoorbeeld aan forums met BBC codes als [color=blue] en [image=test], waarin je precies die tekens kunt plaatsen om de HTML hierboven te krijgen.
dat zijn geen bugs, dat zijn undocumented features...
ik denk dat het specifiek niet gaat om een lek in de browser zelf ...
normaal kan je met javascript sowieso binnen een domein handelingen utvoeren (zoals dus inderdaad het opvragen van informatie uit een webpagina die dit script runt en het doorsturen van deze informatie ... bv AJAX werkt sterk daarmee)

online webmail-aanbieders zullen daarom de mogelijkheden om HTML door te sturen sterk ingeperkt hebben, en zeker de mogelijkheid om scripts te runnen ...
in dat filter zal nu bij YAHOO een lek zitten en dat is een redelijk zware fout omdat dan exploits zeer eenvoudig te schrijven zijn
En toch kan dat best nog wel eens lastig zijn... herinner je je die 'Samy is my hero'-worm nog die een tijdje op MySpace rondwaardde? Hier is te lezen hoe hij alle beveiligingen omzeilde. Erg interessant om als web developer te lezen... en dan wordt ook gelijk duidelijk dat een simpel 'javascript'-filter alleen niet gaat werken.
Zoals je aan mijn post kan zien, mag je op sommige plaatsen de "javascript:" string opsplitsen. Hoe goed je filter ook is, in je filter zul je ook dergelijke bugs moeten filteren. En kom op, een image-tag die verwijst naar een JavaScript url, daarvan verwacht je toch niet dat dat uitgevoerd wordt? :P
Ik heb hem gekregen op mijn Yahoo adres, maar gelukkig niet geopend en gedelete zonder te lezen...

Ik ben met Yahoo een hele tijd spamloos geweest, maar krijg de laatste tijd aardig wat stockoffers en andere aanbiedingen waar ik niet op zit te wachten.
Heb ik hierdoor opeens 500+ yahoo e-mail berichten in mijn inbox van groups waar ik heel lang geleden lid van geworden was?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True