Yahoo korjaa haavoittuvuuden, jonka avulla hakkerit voivat kuunnella sähköposteja

Yahoo on korjannut puutteen Postipalvelu se olisi voinut sallia hakkereiden salakuuntelun käyttäjien sähköposteihin lähes vuoden kuluttua saman virheen paljastamisesta ja korjaamisesta. Suomalainen Jouko Pynnonen sai 10 000 dollaria Yahoo: lta uuden haavoittuvuuden paljastamisesta, jonka Yahoo korjasi viime kuussa.

Virhe koski sivustojen välistä komentosarjahyökkäystä, joka antoi hyökkääjälle luvan lukea käyttäjän sähköpostia tai luoda viruksen Yahoo Mail -tilien tartuttamiseksi. Pynnonen selitti, että käyttäjän on tarkasteltava hyökkääjän sähköposteja, jotta vika toimisi.

Virhe oli samanlainen kuin vanha Yahoo Mail -vika, jonka Pynnonen löysi viime vuonna ja joka saattoi antaa hakkereille täydellisen hallinnan Yahoo Mail -tilissä.

Yahoo-suodattimien puute

Pynnonen mainitsi viimeisimmän haavoittuvuuden syyllisenä Yahoon HTML-viestien suodattimessa olevan puutteen. Suodatin estää haitallisen koodin käyttäjän selaimessa. Tutkijan mukaan suodatin ei onnistunut sieppaamaan kaikkia haitallisia tietoattribuutteja. Hakkeri voisi sitten suorittaa haitallisen JavaScriptin vain lähettämällä mukautetun sähköpostin uhrille.

Tutkija löysi virheen sähköpostin kirjoittamisnäkymässä, jossa erilaiset liitetiedostovaihtoehdot kiinnittivät hänen huomionsa HTML-suodatuksen mahdolliseen virheeseen. Pynnonen loi sitten sähköpostin, jossa oli erilaisia ​​liitteitä, ja lähetti viestin ulkoiseen postilaatikkoon. Tarkastettuaan raaka Sähköpostin sisältämä HTML, jotkut haitalliset attribuutit kiinnittivät hänen huomionsa.

”Silmäni kiinnittivät data- * HTML-määritteet. Ensinnäkin tajusin, että viime vuoden pyrkimykseni luetella Yahoon suodattimen sallimia HTML-määritteitä ei saanut niitä kaikkia kiinni. "

Pynnosen mielestä oli mahdollista upottaa useita HTML-määritteitä, jotka kulkevat Yahoon HTML-suodattimen läpi. Lopulta hän löysi patologisen tapauksen kirjoitettuaan väärinkäyttäviä data- * attribuutteja sisältävän sähköpostin.

Yahoo on ollut tulipalossa aiemmin tänä vuonna, kun raportit osoittavat, että vähintään 200 miljoonaa postitiliä myytiin pimeässä verkossa.

Lue myös:

  • Kuinka kirjautua Windows 10 Mailiin Yahoo-tilillä
  • Yahoo Mail -sovellus Windows 10: lle synkronoi nyt yhteystiedot Microsoft People -palvelun kanssa
Yli 5 parasta virustentorjuntaohjelmaa Yahoo Mailille [Suojausopas]

Yli 5 parasta virustentorjuntaohjelmaa Yahoo Mailille [Suojausopas]Yahoo SähköpostiAntivirus

Jos etsit virustorjuntaohjelmaa Yahoo Mailille, valikoimamme kattaa roskapostin ja tietojenkalastelun torjunnan.Paras valintamme tulee ESETiltä, ​​työkalulta, joka sisältää avarkaudenesto- ja akkua...

Lue lisää
Windows 10: n Yahoo Mail -sovellus lakkaa toimimasta 22. toukokuuta

Windows 10: n Yahoo Mail -sovellus lakkaa toimimasta 22. toukokuutaYahoo Sähköposti

Uutiset, joiden mukaan Windows 10: n Yahoo Mail -sovellus ei enää toimi, ovat kaikki fanit reunalla.On hyvä tietää, että Yahoo Mail -sovellusta ei voi enää ladata.Yahoo Mail -käyttäjät voivat edell...

Lue lisää
Tarvitsetko hyvän selaimen käytettäväksi Yahoo Mailin kanssa? Tässä ovat suosituimmat valintamme

Tarvitsetko hyvän selaimen käytettäväksi Yahoo Mailin kanssa? Tässä ovat suosituimmat valintammeYahoo SähköpostiSelain

Aikaa säästävä ohjelmisto- ja laiteosaaminen, joka auttaa 200 miljoonaa käyttäjää vuosittain. Opastamalla sinut neuvoja, uutisia ja vinkkejä päivittää teknistä elämääsi.Opera-selainOpera on paras v...

Lue lisää