ياهو يصحح ثغرة أمنية تسمح للمتسللين بالتنصت على رسائل البريد الإلكتروني

لقد أصلحت ياهو عيبًا في ملف خدمة البريد كان من الممكن أن يسمح للقراصنة بالتنصت على رسائل البريد الإلكتروني الخاصة بالمستخدمين بعد عام تقريبًا من الكشف عن الخطأ نفسه وتصحيحه. تلقى Jouko Pynnonen من فنلندا 10000 دولار من Yahoo لكشفه عن الثغرة الأمنية الجديدة ، التي أصلحتها Yahoo الشهر الماضي.

يتعلق الخلل بهجوم البرمجة النصية عبر المواقع الذي أعطى المهاجم الإذن لقراءة البريد الإلكتروني للمستخدم أو إنشاء فيروس لإصابة حسابات بريد Yahoo. أوضح Pynnonen أنه يجب على المستخدم عرض البريد الإلكتروني من المهاجم حتى يعمل الخطأ.

كان الخطأ مشابهًا لعيب Yahoo Mail القديم الذي اكتشفه Pynnonen العام الماضي والذي يمكن أن يمنح المتسللين سيطرة كاملة على حساب Yahoo Mail.

القصور في مرشحات ياهو

وأشار بيننون إلى وجود خلل في فلتر Yahoo لرسائل HTML باعتباره السبب في أحدث ثغرة أمنية. يعمل الفلتر على منع الشفرات الضارة من متصفح المستخدم. وفقًا للباحث ، فشل الفلتر في التقاط جميع سمات البيانات الضارة. يمكن للمخترق بعد ذلك تنفيذ JavaScript ضار فقط عن طريق إرسال بريد إلكتروني مخصص إلى الضحية.

اكتشف الباحث الخلل في عرض إنشاء البريد الإلكتروني ، حيث لفتت خيارات المرفقات المختلفة انتباهه إلى خطأ محتمل في ترشيح HTML الأساسي. ثم أنشأ Pynnonen بريدًا إلكترونيًا بمرفقات مختلفة وأرسل الرسالة إلى صندوق بريد خارجي. عند التفتيش

الخام HTML الواردة في البريد الإلكتروني ، لفتت انتباهه بعض السمات الخبيثة.

"ما لفت انتباهي هو سمات البيانات * * HTML. أولاً ، أدركت أن مجهوداتي في العام الماضي في تعداد سمات HTML التي يسمح بها عامل تصفية Yahoo لم تلتقطها جميعًا ".

اعتقد بيننون أنه من الممكن تضمين العديد من سمات HTML التي يمكن أن تمر عبر فلتر HTML الخاص بـ Yahoo. وجد في النهاية حالة مرضية بعد كتابة رسالة بريد إلكتروني بها سمات بيانات مسيئة.

تعرضت ياهو للنيران في وقت سابق من هذا العام بعد تقارير تشير إلى بيع ما لا يقل عن 200 مليون حساب بريد على شبكة الإنترنت المظلمة.

اقرأ أيضا:

• كيفية تسجيل الدخول إلى بريد Windows 10 باستخدام حساب Yahoo
• يقوم تطبيق Yahoo Mail لنظام التشغيل Windows 10 الآن بمزامنة جهات الاتصال مع Microsoft People