Yahoo on selle vea parandanud Postiteenus see oleks võinud lubada häkkeritel kasutajate e-kirju pealt kuulata peaaegu aasta pärast sama vea avalikustamist ja lappimist. Soomlane Jouko Pynnonen sai Yahoo käest 10 000 dollarit uue haavatavuse avalikustamise eest, mille Yahoo parandas eelmisel kuul.
Viga oli seotud saididevahelise skriptimise rünnakuga, mis andis ründajale loa lugeda kasutaja e-posti või luua viirus Yahoo Maili kontode nakatamiseks. Pynnonen selgitas, et kasutaja peab vea toimimiseks vaatama ründaja e-kirju.
Viga sarnanes vana Yahoo Maili veaga, mille Pynnonen eelmisel aastal avastas ja mis võib anda häkkeritele täieliku kontrolli Yahoo Maili konto üle.
Puudujäägid Yahoo filtrites
Pynnonen tõi viimase haavatavuse süüdlaseks HTML-sõnumite Yahoo filtri puudujäägi. Filter blokeerib kasutaja brauseris pahatahtliku koodi. Teadlase sõnul ei õnnestunud filtril kõiki pahatahtlikke andmeid atribuute tabada. Häkker saaks seejärel käivitada pahatahtliku JavaScripti, saates ohvrile kohandatud meilisõnumi.
Teadlane avastas vea meilisõnumite koostamise vaates, kus erinevad manusevalikud juhtisid tema tähelepanu HTML-i põhifiltreerimise võimalikule veale. Seejärel lõi Pynnonen erinevate manustega meilisõnumi ja saatis sõnumi välisele postkasti. Pärast kontrollimist toores Meilis sisalduv HTML, mõned pahatahtlikud atribuudid köitsid tema tähelepanu.
“Mulle jäid silma data- * HTML atribuudid. Esiteks mõistsin, et minu eelmise aasta jõupingutused loetleda Yahoo filtris lubatud HTML-atribuute ei tabanud neid kõiki. "
Pynnonen arvas, et on võimalik manustada mitu HTML-atribuuti, mis läbivad Yahoo HTML-filtrit. Lõpuks leidis ta patoloogilise juhtumi pärast seda, kui oli koostanud kuritahtlike andmete- * atribuutidega e-kirja.
Yahoo on selle aasta alguses olnud tule all pärast teateid, mis näitavad, et pimedas veebis müüdi vähemalt 200 miljonit meilikontot.
Loe ka:
- Kuidas sisse logida Windows 10 Maili Yahoo kontoga
- Windows 10 jaoks mõeldud Yahoo Maili rakendus sünkroonib nüüd kontakte Microsoft People'iga
