Yahoo закърпва уязвимостта, позволявайки на хакерите да подслушват имейли

Yahoo е отстранил недостатък Пощенска услуга което би могло да позволи на хакерите да подслушват имейлите на потребителите близо година след разкриването и закърпването на същата грешка. Jouko Pynnonen от Финландия получи 10 000 долара от Yahoo за разкриване на новата уязвимост, която Yahoo отстрани миналия месец.

Недостатъкът се отнася до атака на скриптове на различни сайтове, която дава на атакуващия разрешение да чете имейла на потребителя или да създаде вирус за заразяване на акаунти в Yahoo Mail. Pynnonen обясни, че потребителят трябва да прегледа имейла от нападател, за да работи грешката.

Грешката беше подобна на стар недостатък на Yahoo Mail, който Pynnonen откри миналата година, който може да даде на хакерите пълен контрол над акаунт в Yahoo Mail.

Недостатък в Yahoo филтрите

Pynnonen посочи недостатък във филтъра на Yahoo за HTML съобщения като виновник за последната уязвимост. Филтърът работи за блокиране на злонамерен код от браузъра на потребителя. Според изследователя филтърът не е успял да улови всички атрибути на злонамерени данни. След това хакер може да изпълни злонамерен JavaScript само чрез изпращане на персонализиран имейл до жертвата.

Изследователят откри недостатъка в изгледа за съставяне на имейли, където различни опции за прикачване насочиха вниманието му към потенциална грешка в основното HTML филтриране. След това Pynnonen създаде имейл с различни прикачени файлове и изпрати съобщението до външна пощенска кутия. При проверка на суров HTML, съдържащ се в имейла, някои злонамерени атрибути привлякоха вниманието му.

„Това, което привлече вниманието ми, бяха атрибутите data- * HTML. Първо, осъзнах, че усилията ми от миналата година да изброя атрибутите на HTML, разрешени от филтъра на Yahoo, не уловиха всички тях. "

Pynnonen смята, че е възможно да се вграждат няколко HTML атрибута, които ще преминат през HTML филтъра на Yahoo. В крайна сметка той намери патологичен случай след съставяне на имейл с нецензурни атрибути data- *.

Yahoo е подложен на атаки по-рано тази година след доклади, които показват, че най-малко 200 милиона акаунта за поща са били продадени в тъмната мрежа.

Прочетете също:

  • Как да влезете в Windows 10 Mail с акаунт в Yahoo
  • Приложението Yahoo Mail за Windows 10 вече синхронизира контактите с Microsoft People
Приложението Yahoo Mail за Windows 10 ще спре да работи на 22 май

Приложението Yahoo Mail за Windows 10 ще спре да работи на 22 майYahoo поща

Новината, че приложението Yahoo Mail за Windows 10 вече няма да работи, има всички фенове на ръба.Добре е да знаете, че приложението Yahoo Mail вече не може да бъде изтеглено.Потребителите на Yahoo...

Прочетете още
Нуждаете се от добър браузър, който да използвате с Yahoo Mail? Ето нашите най-добри снимки

Нуждаете се от добър браузър, който да използвате с Yahoo Mail? Ето нашите най-добри снимкиYahoo пощаБраузър

Спестяващо време софтуерна и хардуерна експертиза, която помага на 200 милиона потребители годишно. Упътвайки ви със съвети, новини и съвети за надграждане на вашия технологичен живот.Браузър Opera...

Прочетете още
Yahoo Mail за Windows 8, Windows 10 OS [Преглед 2018]

Yahoo Mail за Windows 8, Windows 10 OS [Преглед 2018]Yahoo пощаWindows 10Електронна поща

За да коригирате различни проблеми с компютъра, препоръчваме DriverFix:Този софтуер ще поддържа драйверите ви работещи, като по този начин ви предпазва от често срещани компютърни грешки и отказ на...

Прочетете още