- Det mest bemærkelsesværdige ved dette hul er, at ingen synes at have fundet det før. Så vidt vides.
Sådan lyder det fra Drew Copley fra sikkerhedsfirmaet Eeye Digital Security, som selv ved et tilfælde opdagede et stort sikkerhedshul i internetportalen Yahoos mailtjeneste.
Yahoo havde ganske enkelt glemt at filtrere den Java-script-kode, som blev sendt til kunderne, hvis blot mailen var større end 100 kilobyte.
Det gav ikke adgang til brugerens pc, fordi mailen trods alt kun vises i et browser-vindue, men derimod kunne angribere overtage kontrollen med mail-kontoen.
Det kunne, forklarer Drew Copley til nyhedstjenesten Zdnets australske udgave, ske ved at sætte Java-scriptet ind i mail. Så ville scriptet blive afviklet, når brugeren åbnede mailen. Scriptet kunne eksempelvis være udformet som Yahoos logon-side og brugeren blive bedt og logge sig på tjenesten igen. Brugernavn og password ville blot ikke blive sendt til Yahoo, men til angriberen.
Drew Copley opdagede selv fejlen, da en anden sikkerhedsspecialist mailede ham et eksempel på, hvordan et andet sikkerhedshul, som han havde opdaget, kunne udnyttes.
- En del af koden begyndte bare at køre, fortæller han til Zdnet.
Yahoo har allerede lukket hullet og får stor ros af Drew Copley.
- De var meget professionelle og rettede det meget hurtigt. Jeg var imponeret, siger han til Zdnet.
