Yahoo on korjannut puutteen Postipalvelu se olisi voinut sallia hakkereiden salakuuntelun käyttäjien sähköposteihin lähes vuoden kuluttua saman virheen paljastamisesta ja korjaamisesta. Suomalainen Jouko Pynnonen sai 10 000 dollaria Yahoo: lta uuden haavoittuvuuden paljastamisesta, jonka Yahoo korjasi viime kuussa.
Virhe koski sivustojen välistä komentosarjahyökkäystä, joka antoi hyökkääjälle luvan lukea käyttäjän sähköpostia tai luoda viruksen Yahoo Mail -tilien tartuttamiseksi. Pynnonen selitti, että käyttäjän on tarkasteltava hyökkääjän sähköposteja, jotta vika toimisi.
Virhe oli samanlainen kuin vanha Yahoo Mail -vika, jonka Pynnonen löysi viime vuonna ja joka saattoi antaa hakkereille täydellisen hallinnan Yahoo Mail -tilissä.
Yahoo-suodattimien puute
Pynnonen mainitsi viimeisimmän haavoittuvuuden syyllisenä Yahoon HTML-viestien suodattimessa olevan puutteen. Suodatin estää haitallisen koodin käyttäjän selaimessa. Tutkijan mukaan suodatin ei onnistunut sieppaamaan kaikkia haitallisia tietoattribuutteja. Hakkeri voisi sitten suorittaa haitallisen JavaScriptin vain lähettämällä mukautetun sähköpostin uhrille.
Tutkija löysi virheen sähköpostin kirjoittamisnäkymässä, jossa erilaiset liitetiedostovaihtoehdot kiinnittivät hänen huomionsa HTML-suodatuksen mahdolliseen virheeseen. Pynnonen loi sitten sähköpostin, jossa oli erilaisia liitteitä, ja lähetti viestin ulkoiseen postilaatikkoon. Tarkastettuaan raaka Sähköpostin sisältämä HTML, jotkut haitalliset attribuutit kiinnittivät hänen huomionsa.
”Silmäni kiinnittivät data- * HTML-määritteet. Ensinnäkin tajusin, että viime vuoden pyrkimykseni luetella Yahoon suodattimen sallimia HTML-määritteitä ei saanut niitä kaikkia kiinni. "
Pynnosen mielestä oli mahdollista upottaa useita HTML-määritteitä, jotka kulkevat Yahoon HTML-suodattimen läpi. Lopulta hän löysi patologisen tapauksen kirjoitettuaan väärinkäyttäviä data- * attribuutteja sisältävän sähköpostin.
Yahoo on ollut tulipalossa aiemmin tänä vuonna, kun raportit osoittavat, että vähintään 200 miljoonaa postitiliä myytiin pimeässä verkossa.
Lue myös:
- Kuinka kirjautua Windows 10 Mailiin Yahoo-tilillä
- Yahoo Mail -sovellus Windows 10: lle synkronoi nyt yhteystiedot Microsoft People -palvelun kanssa
