याहू पैच भेद्यता हैकर्स को ईमेल पर छिपाने की इजाजत देता है

Yahoo ने अपने में एक दोष ठीक किया है मेल सेवा जो हैकर्स को उसी बग का खुलासा और पैच किए जाने के लगभग एक साल बाद उपयोगकर्ता ईमेल पर छिपकर बातें करने की अनुमति दे सकता था। फ़िनलैंड के जौको पिनोनेन को नई भेद्यता का खुलासा करने के लिए याहू से 10,000 डॉलर मिले, जिसे याहू ने पिछले महीने तय किया था।

दोष एक क्रॉस-साइट स्क्रिप्टिंग हमले से संबंधित है जिसने एक हमलावर को उपयोगकर्ता के ईमेल को पढ़ने या याहू मेल खातों को संक्रमित करने के लिए वायरस बनाने की अनुमति दी। पिनोनेन ने समझाया कि बग को काम करने के लिए एक उपयोगकर्ता को एक हमलावर से ईमेल देखना चाहिए।

यह बग एक पुराने Yahoo मेल दोष के समान था जिसे पिछले साल पिनोनेन ने खोजा था जो हैकर्स को Yahoo मेल खाते का पूर्ण नियंत्रण दे सकता था।

Yahoo फ़िल्टर में कमी

Pynonen ने नवीनतम भेद्यता के लिए अपराधी के रूप में HTML संदेशों के लिए Yahoo के फ़िल्टर में एक कमी का हवाला दिया। फ़िल्टर उपयोगकर्ता के ब्राउज़र से दुर्भावनापूर्ण कोड को ब्लॉक करने का काम करता है। शोधकर्ता के अनुसार, फ़िल्टर सभी दुर्भावनापूर्ण डेटा विशेषताओं को कैप्चर करने में विफल रहा। एक हैकर तब पीड़ित को एक कस्टम ईमेल भेजकर दुर्भावनापूर्ण जावास्क्रिप्ट को निष्पादित कर सकता है।

शोधकर्ता ने ईमेल कंपोज़िंग व्यू में दोष की खोज की, जहां विभिन्न अटैचमेंट विकल्पों ने उनका ध्यान मूल HTML फ़िल्टरिंग में संभावित बग की ओर आकर्षित किया। फिर पिनोनेन ने विभिन्न अनुलग्नकों के साथ एक ईमेल बनाया और संदेश को एक बाहरी मेलबॉक्स में भेजा। निरीक्षण करने पर कच्चा ईमेल में निहित HTML, कुछ दुर्भावनापूर्ण विशेषताओं ने उनका ध्यान खींचा।

“मेरी नज़र में डेटा-* HTML विशेषताएँ थीं। सबसे पहले, मुझे एहसास हुआ कि याहू के फ़िल्टर द्वारा अनुमत HTML विशेषताओं की गणना करने के मेरे पिछले साल के प्रयास ने उन सभी को नहीं पकड़ा।

पिनोनेन ने सोचा कि कई HTML विशेषताओं को एम्बेड करना संभव है जो Yahoo के HTML फ़िल्टर से होकर गुजरेंगी। अंततः अपमानजनक डेटा-* विशेषताओं के साथ एक ईमेल लिखने के बाद उन्हें एक पैथोलॉजिकल केस मिला।

याहू इस साल की शुरुआत में उन रिपोर्टों के बाद आग की चपेट में आ गया था, जो बताती हैं कि डार्क वेब पर कम से कम 200 मिलियन मेल खाते बेचे गए थे।

यह भी पढ़ें:

• Yahoo खाते से Windows 10 मेल में साइन इन कैसे करें
• विंडोज 10 के लिए याहू मेल ऐप अब माइक्रोसॉफ्ट पीपल के साथ संपर्क सिंक करता है