Yahoo закърпва уязвимостта, позволявайки на хакерите да подслушват имейли

Yahoo е отстранил недостатък Пощенска услуга което би могло да позволи на хакерите да подслушват имейлите на потребителите близо година след разкриването и закърпването на същата грешка. Jouko Pynnonen от Финландия получи 10 000 долара от Yahoo за разкриване на новата уязвимост, която Yahoo отстрани миналия месец.

Недостатъкът се отнася до атака на скриптове на различни сайтове, която дава на атакуващия разрешение да чете имейла на потребителя или да създаде вирус за заразяване на акаунти в Yahoo Mail. Pynnonen обясни, че потребителят трябва да прегледа имейла от нападател, за да работи грешката.

Грешката беше подобна на стар недостатък на Yahoo Mail, който Pynnonen откри миналата година, който може да даде на хакерите пълен контрол над акаунт в Yahoo Mail.

Недостатък в Yahoo филтрите

Pynnonen посочи недостатък във филтъра на Yahoo за HTML съобщения като виновник за последната уязвимост. Филтърът работи за блокиране на злонамерен код от браузъра на потребителя. Според изследователя филтърът не е успял да улови всички атрибути на злонамерени данни. След това хакер може да изпълни злонамерен JavaScript само чрез изпращане на персонализиран имейл до жертвата.

Изследователят откри недостатъка в изгледа за съставяне на имейли, където различни опции за прикачване насочиха вниманието му към потенциална грешка в основното HTML филтриране. След това Pynnonen създаде имейл с различни прикачени файлове и изпрати съобщението до външна пощенска кутия. При проверка на суров HTML, съдържащ се в имейла, някои злонамерени атрибути привлякоха вниманието му.

„Това, което привлече вниманието ми, бяха атрибутите data- * HTML. Първо, осъзнах, че усилията ми от миналата година да изброя атрибутите на HTML, разрешени от филтъра на Yahoo, не уловиха всички тях. "

Pynnonen смята, че е възможно да се вграждат няколко HTML атрибута, които ще преминат през HTML филтъра на Yahoo. В крайна сметка той намери патологичен случай след съставяне на имейл с нецензурни атрибути data- *.

Yahoo е подложен на атаки по-рано тази година след доклади, които показват, че най-малко 200 милиона акаунта за поща са били продадени в тъмната мрежа.

Прочетете също:

  • Как да влезете в Windows 10 Mail с акаунт в Yahoo
  • Приложението Yahoo Mail за Windows 10 вече синхронизира контактите с Microsoft People
7 начина да коригирате Yahoo Mail, когато не работи в Chrome

7 начина да коригирате Yahoo Mail, когато не работи в ChromeYahoo пощаWindows 10Windows 11Chrome

Опитвали ли сте да използвате Yahoo Mail в друг браузър?Google Chrome е най-популярният и усъвършенстван уеб браузър, разработен от технологичния гигант Google.Въпреки че Google Chrome работи добре...

Прочетете още
Yahoo Mail не получава имейли? Ето какво да направите

Yahoo Mail не получава имейли? Ето какво да направитеYahoo поща

Опитайте да изчистите кеша на браузъра или да превключите към нов браузърПотребителите на Yahoo Mail съобщиха, че не получават поща в своите акаунти.Това може да се дължи на липса на място за съхра...

Прочетете още
Решено: Yahoo Temporary Error 15

Решено: Yahoo Temporary Error 15Yahoo поща

Поддържаните и актуални браузъри работят добре с Yahoo MailАко виждате съобщението за временна грешка 15 в Yahoo Mail, излезте от всички други устройства, на които сте влезли, и опитайте отново.Дру...

Прочетете още