Yahoo opravuje zranitelnost umožňující hackerům odposlouchávat e-maily

Yahoo opravil chybu v jeho Poštovní služba to mohlo hackerům umožnit odposlouchávat e-maily uživatelů téměř rok poté, co byla stejná chyba zveřejněna a opravena. Jouko Pynnonen z Finska obdržel od Yahoo 10 000 $ za odhalení nové chyby zabezpečení, kterou Yahoo opravila minulý měsíc.

Chyba se týkala skriptovacího útoku napříč weby, který poskytl útočníkovi oprávnění číst e-maily uživatelů nebo vytvářet viry k infikování účtů Yahoo Mail. Pynnonen vysvětlil, že uživatel musí zobrazit e-mail od útočníka, aby chyba fungovala.

Tato chyba byla podobná staré chybě Yahoo Mail, kterou Pynnonen objevila minulý rok a která mohla hackerům poskytnout úplnou kontrolu nad účtem Yahoo Mail.

Nedostatek ve filtrech Yahoo

Pynnonen jako viník nejnovější chyby zabezpečení uvedl nedostatek filtru zpráv HTML od společnosti Yahoo. Filtr funguje tak, že blokuje škodlivý kód z prohlížeče uživatele. Podle výzkumníka se filtru nepodařilo zachytit všechny atributy škodlivých dat. Hacker by pak mohl spustit škodlivý JavaScript pouze zasláním vlastního e-mailu oběti.

Výzkumník objevil chybu v pohledu na psaní e-mailu, kde různé možnosti přílohy upozorňovaly na potenciální chybu v základním filtrování HTML. Pynnonen poté vytvořil e-mail s různými přílohami a odeslal zprávu do externí poštovní schránky. Při prohlídce drsný HTML obsažený v e-mailu, některé škodlivé atributy upoutaly jeho pozornost.

"To, co mě zaujalo, byly atributy datových * HTML." Nejprve jsem si uvědomil, že moje loňská snaha o výčet atributů HTML povolených filtrem Yahoo je nezachytila ​​všechny. “

Pynnonen si myslel, že je možné vložit několik atributů HTML, které procházejí filtrem HTML společnosti Yahoo. Nakonec našel patologický případ poté, co složil e-mail se zneužívajícími atributy data- *.

Yahoo bylo počátkem letošního roku pod palbou po zprávách, které naznačují, že se na temném webu prodalo nejméně 200 milionů poštovních účtů.

Přečtěte si také:

  • Jak se přihlásit do Windows 10 Mail pomocí účtu Yahoo
  • Aplikace Yahoo Mail pro Windows 10 nyní synchronizuje kontakty s Microsoft People
Aplikace Yahoo Mail pro Windows 10 přestane fungovat 22. května

Aplikace Yahoo Mail pro Windows 10 přestane fungovat 22. květnaYahoo Mail

Zpráva, že aplikace Yahoo Mail pro Windows 10 již nebude fungovat, má všechny fanoušky na hraně.Je dobré vědět, že aplikaci Yahoo Mail již nelze stáhnout.Uživatelé Yahoo Mail se budou i nadále moci...

Přečtěte si více
Potřebujete dobrý prohlížeč pro použití s ​​Yahoo Mail? Zde jsou naše nejlepší tipy

Potřebujete dobrý prohlížeč pro použití s ​​Yahoo Mail? Zde jsou naše nejlepší tipyYahoo MailProhlížeč

Časově úsporné znalosti softwaru a hardwaru, které pomáhají 200 milionům uživatelů ročně. Poskytne vám rady, novinky a tipy, jak upgradovat svůj technologický život.Prohlížeč OperaOpera je nejlepší...

Přečtěte si více
Yahoo Mail pro Windows 8, Windows 10 OS [recenze 2018]

Yahoo Mail pro Windows 8, Windows 10 OS [recenze 2018]Yahoo MailWindows 10E Mailem

Chcete-li vyřešit různé problémy s počítačem, doporučujeme DriverFix:Tento software udrží vaše ovladače v provozu a ochrání vás před běžnými chybami počítače a selháním hardwaru. Zkontrolujte všech...

Přečtěte si více