Yahoo laver sårbarhed, så hackere kan aflytte e-mails

Yahoo har rettet en fejl i dens Posttjeneste det kunne have tilladt hackere at aflytte bruger-e-mails næsten et år efter, at den samme fejl blev afsløret og patched. Jouko Pynnonen fra Finland modtog $ 10.000 fra Yahoo for at have afsløret den nye sårbarhed, som Yahoo fik fast i sidste måned.

Fejlen vedrørte et cross-site scripting-angreb, der gav en hacker tilladelse til at læse en brugers e-mail eller oprette en virus til at inficere Yahoo Mail-konti. Pynnonen forklarede, at en bruger skal se e-mailen fra en angriber for at fejlen skal fungere.

Fejlen lignede en gammel Yahoo Mail-fejl, som Pynnonen opdagede sidste år, der kunne give hackere fuld kontrol over en Yahoo Mail-konto.

Mangler i Yahoo-filtre

Pynnonen nævnte en mangel i Yahoos filter til HTML-beskeder som skyldige for den seneste sårbarhed. Filteret fungerer til at blokere ondsindet kode fra brugerens browser. Ifølge forskeren kunne filteret ikke registrere alle de ondsindede dataattributter. En hacker kunne derefter udføre ondsindet JavaScript bare ved at sende en brugerdefineret e-mail til offeret.

Forskeren opdagede fejlen i e-mail-komponeringsvisningen, hvor forskellige vedhæftningsindstillinger gjorde opmærksom på potentiel fejl i grundlæggende HTML-filtrering. Pynnonen oprettede derefter en e-mail med forskellige vedhæftede filer og sendte beskeden til en ekstern postkasse. Efter inspektion af HTML indeholdt i e-mailen, nogle ondsindede attributter fangede hans opmærksomhed.

”Hvad der fangede mit øje var data- * HTML-attributterne. For det første indså jeg, at mit sidste års indsats for at tælle HTML-attributter, der er tilladt af Yahoos filter, ikke fangede dem alle. ”

Pynnonen troede, at det var muligt at integrere flere HTML-attributter, der ville passere gennem Yahoos HTML-filter. Til sidst fandt han en patologisk sag efter at have skrevet en e-mail med voldelige data- * attributter.

Yahoo har været under skud tidligere på året efter rapporter om, at mindst 200 millioner e-mail-konti blev solgt på det mørke web.

Læs også:

  • Sådan logger du på Windows 10 Mail med en Yahoo-konto
  • Yahoo Mail-appen til Windows 10 synkroniserer nu kontakter med Microsoft People
Yahoo Mail til Windows 8, Windows 10 OS [2018 gennemgang]

Yahoo Mail til Windows 8, Windows 10 OS [2018 gennemgang]Yahoo MailWindows 10E Mail

For at løse forskellige pc-problemer anbefaler vi DriverFix:Denne software holder dine drivere kørende og holder dig dermed beskyttet mod almindelige computerfejl og hardwarefejl. Tjek alle dine ch...

Læs mere
Download Yahoo Mail App til Windows 10 gratis [UPDATE]

Download Yahoo Mail App til Windows 10 gratis [UPDATE]Yahoo Mail

Yahoo! Mail-appen er ikke længere tilgængelig til download i Microsoft Store i nogen tid nu.Men du kan have de samme produktivitetsresultater ved hjælp af et af de tilgængelige alternativer.I melle...

Læs mere
Yahoo laver sårbarhed, så hackere kan aflytte e-mails

Yahoo laver sårbarhed, så hackere kan aflytte e-mailsYahoo Mail

Yahoo har rettet en fejl i dens Posttjeneste det kunne have tilladt hackere at aflytte bruger-e-mails næsten et år efter, at den samme fejl blev afsløret og patched. Jouko Pynnonen fra Finland modt...

Læs mere