Yahoo je otklonio nedostatak Poštanska usluga to je moglo dopustiti hakerima da prisluškuju korisničke e-adrese gotovo godinu dana nakon što je ista programska pogreška otkrivena i zakrpana. Jouko Pynnonen iz Finske dobio je 10 000 američkih dolara od Yahooa za otkrivanje nove ranjivosti koju je Yahoo popravio prošlog mjeseca.
Nedostatak se odnosio na napad na skripte na više web lokacija koji je napadaču dao dozvolu da pročita korisnikovu e-poštu ili stvori virus za zarazu Yahoo Mail računa. Pynnonen je objasnio da korisnik mora pregledati e-poštu napadača da bi bug mogao funkcionirati.
Bug je sličan staroj pogrešci Yahoo Maila koju je Pynnonen otkrio prošle godine koja bi hakerima mogla dati potpunu kontrolu nad Yahoo Mail računom.
Nedostatak Yahoo filtara
Pynnonen je kao krivca za najnoviju ranjivost naveo nedostatak Yahoovog filtra za HTML poruke. Filtar djeluje na blokiranje zlonamjernog koda iz korisnikova preglednika. Prema istraživaču, filtar nije uspio obuhvatiti sve atribute zlonamjernih podataka. Tada bi haker mogao izvršiti zlonamjerni JavaScript samo slanjem prilagođene e-pošte žrtvi.
Istraživač je otkrio manu u pogledu sastavljanja e-pošte, gdje su mu razne mogućnosti privitka skrenule pažnju na potencijalnu pogrešku u osnovnom HTML filtriranju. Pynnonen je zatim stvorio e-poštu s raznim privicima i poslao je poruku na vanjski poštanski sandučić. Nakon pregleda sirovo HTML koji se nalazi u e-poruci, a neki su mu zlonamjerni atributi privukli pažnju.
“Ono što mi je zapalo za oko su atributi data- * HTML. Prvo, shvatio sam da moj prošlogodišnji napor da nabrojim HTML atribute dopuštene Yahoovim filtrom nije uhvatio sve. "
Pynnonen je smatrao da je moguće ugraditi nekoliko HTML atributa koji će prolaziti kroz Yahoov HTML filtar. Na kraju je pronašao patološki slučaj nakon što je sastavio e-poštu s nasilnim atributima data- *.
Yahoo je pod vatrom početkom ove godine nakon izvještaja koji pokazuju da je najmanje 200 milijuna poštanskih računa prodano na tamnoj mreži.
Pročitajte također:
- Kako se prijaviti na Windows 10 Mail s Yahoo računom
- Yahoo Mail aplikacija za Windows 10 sada sinkronizira kontakte s Microsoft Peopleom
