A Yahoo javítja a biztonsági rést, amely lehetővé teszi a hackerek számára, hogy lehallgassák az e-maileket

A Yahoo hibát javított Mail szolgáltatás ez lehetővé tehette volna, hogy a hackerek lehallgassák a felhasználói e-maileket, majdnem egy évvel azután, hogy ugyanazon hibát nyilvánosságra hozták és foltozták. A finn Jouko Pynnonen 10 000 dollárt kapott a Yahoo-tól az új sebezhetőség nyilvánosságra hozatala miatt, amelyet a Yahoo a múlt hónapban kijavított.

A hiba egy helyszíni parancsfájl-támadásra vonatkozott, amely engedélyt adott a támadónak a felhasználó e-mailjének elolvasására vagy vírus létrehozására a Yahoo Mail fiókok megfertőzéséhez. Pynnonen kifejtette, hogy a felhasználónak meg kell tekintenie a támadó e-mailjét, hogy működjön a hiba.

A hiba hasonló volt egy régi Yahoo Mail hibához, amelyet Pynnonen tavaly fedezett fel, és amely a hackereknek teljes ellenőrzést adhat a Yahoo Mail fiók felett.

Hiány a Yahoo szűrőkben

Pynnonen a Yahoo HTML-üzenetek szűrőjének hiányosságát említette a legfrissebb sebezhetőség okozójaként. A szűrő blokkolja a rosszindulatú kódokat a felhasználó böngészőjéből. A kutató szerint a szűrő nem tudta elkapni az összes rosszindulatú adatattribútumot. Ezután egy hacker rosszindulatú JavaScriptet futtathat, csak egyedi e-mailt küldve az áldozatnak.

A kutató felfedezte az e-mail író nézet hibáját, ahol különféle csatolási lehetőségek hívták fel a figyelmét az alapvető HTML-szűrés lehetséges hibájára. Ezután Pynnonen létrehozott egy különféle mellékleteket tartalmazó e-mailt, és elküldte az üzenetet egy külső postafiókba. A nyers Az e-mailben található HTML, néhány rosszindulatú tulajdonság felkeltette a figyelmét.

„Ami megakadt a szememben, az az data- * HTML attribútumok voltak. Először rájöttem, hogy tavaly a Yahoo szűrője által megengedett HTML-attribútumok felsorolására tett erőfeszítésem nem fogta el mindet. "

Pynnonen úgy gondolta, hogy több olyan HTML-attribútumot lehet beágyazni, amelyek áthaladnak a Yahoo HTML-szűrőjén. Végül talált egy kóros esetet, miután visszaélésszerű adatok- * attribútumokkal ellátott e-mailt írt össze.

A Yahoo az év elején tűz alatt állt, miután jelentések szerint legalább 200 millió Mail-fiókot adtak el a sötét weben.

Olvassa el még:

  • Hogyan lehet bejelentkezni a Windows 10 Mailbe egy Yahoo-fiókkal
  • A Yahoo Mail alkalmazás Windows 10 rendszerhez most szinkronizálja a névjegyeket a Microsoft People programmal
Yahoo Mail Windows 8, Windows 10 operációs rendszerhez [2018 áttekintés]

Yahoo Mail Windows 8, Windows 10 operációs rendszerhez [2018 áttekintés]Yahoo LevelezésWindows 10Email

A különféle számítógépes problémák kijavításához javasoljuk a DriverFix alkalmazást:Ez a szoftver folyamatosan futtatja az illesztőprogramokat, és így megóvja az általános számítógépes hibáktól és ...

Olvass tovább
Töltse le ingyen a Yahoo Mail alkalmazást a Windows 10 rendszerhez [UPDATE]

Töltse le ingyen a Yahoo Mail alkalmazást a Windows 10 rendszerhez [UPDATE]Yahoo Levelezés

A Yahoo! A Mail alkalmazás egy ideje már nem tölthető le a Microsoft Store-ból.De ugyanazok a termelékenységi eredmények érhetők el a rendelkezésre álló alternatívák egyikével.Eközben a Yahoo! A Ma...

Olvass tovább
A Yahoo javítja a biztonsági rést, amely lehetővé teszi a hackerek számára, hogy lehallgassák az e-maileket

A Yahoo javítja a biztonsági rést, amely lehetővé teszi a hackerek számára, hogy lehallgassák az e-maileketYahoo Levelezés

A Yahoo hibát javított Mail szolgáltatás ez lehetővé tehette volna, hogy a hackerek lehallgassák a felhasználói e-maileket, majdnem egy évvel azután, hogy ugyanazon hibát nyilvánosságra hozták és f...

Olvass tovább