Yahoo corrige une vulnérabilité permettant aux pirates d'écouter les e-mails

Yahoo a corrigé une faille dans son Service de courrier cela aurait pu permettre aux pirates d'écouter les e-mails des utilisateurs près d'un an après la divulgation et la correction du même bogue. Jouko Pynnonen de Finlande a reçu 10 000 $ de Yahoo pour avoir divulgué la nouvelle vulnérabilité, que Yahoo a corrigée le mois dernier.

La faille concernait une attaque de script inter-sites qui donnait à un attaquant la permission de lire le courrier électronique d'un utilisateur ou de créer un virus pour infecter les comptes Yahoo Mail. Pynnonen a expliqué qu'un utilisateur doit afficher l'e-mail d'un attaquant pour que le bogue fonctionne.

Le bogue était similaire à une ancienne faille Yahoo Mail que Pynnonen a découverte l'année dernière et qui pouvait donner aux pirates le contrôle total d'un compte Yahoo Mail.

Défaut dans les filtres Yahoo

Pynnonen a cité une lacune dans le filtre de Yahoo pour les messages HTML comme coupable de la dernière vulnérabilité. Le filtre fonctionne pour bloquer le code malveillant du navigateur de l'utilisateur. Selon le chercheur, le filtre n'a pas réussi à capturer tous les attributs de données malveillants. Un pirate informatique pourrait alors exécuter du code JavaScript malveillant simplement en envoyant un e-mail personnalisé à la victime.

Le chercheur a découvert la faille dans la vue de composition des e-mails, où diverses options de pièces jointes ont attiré son attention sur un bogue potentiel dans le filtrage HTML de base. Pynnonen a ensuite créé un e-mail avec diverses pièces jointes et envoyé le message à une boîte aux lettres externe. Lors de l'inspection du cru HTML contenu dans l'e-mail, certains attributs malveillants ont attiré son attention.

« Ce qui a attiré mon attention, ce sont les attributs HTML data-*. Tout d'abord, j'ai réalisé que mes efforts de l'année dernière pour énumérer les attributs HTML autorisés par le filtre de Yahoo ne les avaient pas tous capturés.

Pynnonen pensait qu'il était possible d'intégrer plusieurs attributs HTML qui passeraient par le filtre HTML de Yahoo. Il a finalement trouvé un cas pathologique après avoir composé un e-mail avec des attributs data-* abusifs.

Yahoo a été critiqué plus tôt cette année à la suite de rapports indiquant qu'au moins 200 millions de comptes Mail ont été vendus sur le dark web.

Lire aussi :

  • Comment se connecter à Windows 10 Mail avec un compte Yahoo
  • L'application Yahoo Mail pour Windows 10 synchronise désormais les contacts avec Microsoft People
Téléchargez l'application Yahoo Mail pour Windows 10 gratuitement [MISE À JOUR]

Téléchargez l'application Yahoo Mail pour Windows 10 gratuitement [MISE À JOUR]Yahoo Mail

Le Yahoo! L'application Mail n'est plus disponible au téléchargement dans le Microsoft Store depuis un certain temps maintenant.Mais vous pouvez obtenir les mêmes résultats de productivité en utili...

Lire la suite
Yahoo corrige une vulnérabilité permettant aux pirates d'écouter les e-mails

Yahoo corrige une vulnérabilité permettant aux pirates d'écouter les e-mailsYahoo Mail

Yahoo a corrigé une faille dans son Service de courrier cela aurait pu permettre aux pirates d'écouter les e-mails des utilisateurs près d'un an après la divulgation et la correction du même bogue....

Lire la suite
Vous avez l'erreur temporaire: 19 sur Yahoo Mail? Consultez nos 3 correctifs

Vous avez l'erreur temporaire: 19 sur Yahoo Mail? Consultez nos 3 correctifsYahoo MailWindows 11E Mail

L'erreur temporaire Yahoo Mail: 19 peut être causée lorsque vous utilisez un navigateur non pris en charge.Commencez par vous assurer que votre application prend en charge les services et les cooki...

Lire la suite