Yahoo zakrpa ranjivost omogućavajući hakerima da prisluškuju e-poštu

Yahoo je otklonio nedostatak Poštanska usluga to je moglo dopustiti hakerima da prisluškuju korisničke e-adrese gotovo godinu dana nakon što je ista programska pogreška otkrivena i zakrpana. Jouko Pynnonen iz Finske dobio je 10 000 američkih dolara od Yahooa za otkrivanje nove ranjivosti koju je Yahoo popravio prošlog mjeseca.

Nedostatak se odnosio na napad na skripte na više web lokacija koji je napadaču dao dozvolu da pročita korisnikovu e-poštu ili stvori virus za zarazu Yahoo Mail računa. Pynnonen je objasnio da korisnik mora pregledati e-poštu napadača da bi bug mogao funkcionirati.

Bug je sličan staroj pogrešci Yahoo Maila koju je Pynnonen otkrio prošle godine koja bi hakerima mogla dati potpunu kontrolu nad Yahoo Mail računom.

Nedostatak Yahoo filtara

Pynnonen je kao krivca za najnoviju ranjivost naveo nedostatak Yahoovog filtra za HTML poruke. Filtar djeluje na blokiranje zlonamjernog koda iz korisnikova preglednika. Prema istraživaču, filtar nije uspio obuhvatiti sve atribute zlonamjernih podataka. Tada bi haker mogao izvršiti zlonamjerni JavaScript samo slanjem prilagođene e-pošte žrtvi.

Istraživač je otkrio manu u pogledu sastavljanja e-pošte, gdje su mu razne mogućnosti privitka skrenule pažnju na potencijalnu pogrešku u osnovnom HTML filtriranju. Pynnonen je zatim stvorio e-poštu s raznim privicima i poslao je poruku na vanjski poštanski sandučić. Nakon pregleda sirovo HTML koji se nalazi u e-poruci, a neki su mu zlonamjerni atributi privukli pažnju.

“Ono što mi je zapalo za oko su atributi data- * HTML. Prvo, shvatio sam da moj prošlogodišnji napor da nabrojim HTML atribute dopuštene Yahoovim filtrom nije uhvatio sve. "

Pynnonen je smatrao da je moguće ugraditi nekoliko HTML atributa koji će prolaziti kroz Yahoov HTML filtar. Na kraju je pronašao patološki slučaj nakon što je sastavio e-poštu s nasilnim atributima data- *.

Yahoo je pod vatrom početkom ove godine nakon izvještaja koji pokazuju da je najmanje 200 milijuna poštanskih računa prodano na tamnoj mreži.

Pročitajte također:

  • Kako se prijaviti na Windows 10 Mail s Yahoo računom
  • Yahoo Mail aplikacija za Windows 10 sada sinkronizira kontakte s Microsoft Peopleom
5+ najboljih antivirusa za Yahoo Mail [Sigurnosni vodič]

5+ najboljih antivirusa za Yahoo Mail [Sigurnosni vodič]Yahoo MailAntivirus

Ako tražite antivirus za Yahoo Mail, naš će izbor obuhvaćati anti-neželjenu poštu i anti-phishing značajke.Naš najbolji izbor dolazi iz ESET-a, alata koji sadrži aznačajke krađe i uštede baterije.T...

Čitaj više
Yahoo Mail aplikacija za Windows 10 prestat će raditi 22. svibnja

Yahoo Mail aplikacija za Windows 10 prestat će raditi 22. svibnjaYahoo Mail

Vijest da aplikacija Yahoo Mail za Windows 10 više neće raditi ima sve obožavatelje.Dobro je znati da se aplikacija Yahoo Mail više ne može preuzeti.Korisnici Yahoo Maila i dalje će se moći prijavi...

Čitaj više
Trebate li dobar preglednik za korištenje s Yahoo Mailom? Evo naših najboljih izbora

Trebate li dobar preglednik za korištenje s Yahoo Mailom? Evo naših najboljih izboraYahoo MailPreglednik

Ušteda vremena na softverskom i hardverskom znanju koje pomaže 200 milijuna korisnika godišnje. Vodiću vas savjetima, vijestima i savjetima za nadogradnju vašeg tehnološkog života.Preglednik OperaO...

Čitaj više