Yahoo menambal kerentanan yang memungkinkan peretas untuk menguping email

Yahoo telah memperbaiki kekurangannya Layanan surat yang bisa memungkinkan peretas untuk menguping email pengguna hampir setahun setelah bug yang sama diungkapkan dan ditambal. Jouko Pynnonen dari Finlandia menerima $10.000 dari Yahoo karena mengungkapkan kerentanan baru, yang diperbaiki Yahoo bulan lalu.

Cacat tersebut berkaitan dengan serangan skrip lintas situs yang memberi penyerang izin untuk membaca email pengguna atau membuat virus untuk menginfeksi akun Yahoo Mail. Pynnonen menjelaskan bahwa pengguna harus melihat email dari penyerang agar bug berfungsi.

Bug itu mirip dengan kelemahan Yahoo Mail lama yang ditemukan Pynnonen tahun lalu yang dapat memberi peretas kendali penuh atas akun Yahoo Mail.

Kekurangan dalam filter Yahoo

Pynnonen mengutip kelemahan filter Yahoo untuk pesan HTML sebagai penyebab kerentanan terbaru. Filter berfungsi untuk memblokir kode berbahaya dari browser pengguna. Menurut peneliti, filter gagal menangkap semua atribut data berbahaya. Seorang peretas kemudian dapat mengeksekusi JavaScript berbahaya hanya dengan mengirimkan email khusus kepada korban.

Peneliti menemukan kelemahan dalam tampilan penulisan email, di mana berbagai opsi lampiran meminta perhatiannya pada potensi bug dalam pemfilteran HTML dasar. Pynnonen kemudian membuat email dengan berbagai lampiran dan mengirim pesan ke kotak surat eksternal. Setelah memeriksa mentah HTML yang terkandung dalam email, beberapa atribut berbahaya menarik perhatiannya.

“Yang menarik perhatian saya adalah data-* atribut HTML. Pertama, saya menyadari upaya tahun lalu saya untuk menghitung atribut HTML yang diizinkan oleh filter Yahoo tidak menangkap semuanya.”

Pynnonen berpikir adalah mungkin untuk menyematkan beberapa atribut HTML yang akan melewati filter HTML Yahoo. Dia akhirnya menemukan kasus patologis setelah menulis email dengan atribut data-* yang kasar.

Yahoo telah mendapat kecaman awal tahun ini menyusul laporan yang menunjukkan setidaknya 200 juta akun Mail dijual di web gelap.

Baca juga:

  • Cara masuk ke Windows 10 Mail dengan akun Yahoo
  • Aplikasi Yahoo Mail untuk Windows 10 sekarang menyinkronkan kontak dengan Microsoft People
Aplikasi Yahoo Mail untuk Windows 10 akan berhenti berfungsi pada 22 Mei

Aplikasi Yahoo Mail untuk Windows 10 akan berhenti berfungsi pada 22 MeiYahoo Mail

Berita bahwa aplikasi Yahoo Mail untuk Windows 10 tidak akan berfungsi lagi membuat semua penggemar gelisah.Senang mengetahui bahwa aplikasi Yahoo Mail tidak dapat diunduh lagi.Pengguna Yahoo Mail ...

Baca selengkapnya
Butuh browser yang bagus untuk digunakan dengan Yahoo Mail? Berikut adalah pilihan utama kami

Butuh browser yang bagus untuk digunakan dengan Yahoo Mail? Berikut adalah pilihan utama kamiYahoo MailPeramban

Keahlian perangkat lunak dan perangkat keras yang menghemat waktu yang membantu 200 juta pengguna setiap tahun. Memandu Anda dengan saran, berita, dan kiat untuk meningkatkan kehidupan teknologi An...

Baca selengkapnya
Yahoo Mail untuk Windows 8, Windows 10 OS [Ulasan 2018]

Yahoo Mail untuk Windows 8, Windows 10 OS [Ulasan 2018]Yahoo MailWindows 10Surel

Untuk memperbaiki berbagai masalah PC, kami merekomendasikan DriverFix:Perangkat lunak ini akan menjaga driver Anda tetap aktif dan berjalan, sehingga menjaga Anda tetap aman dari kesalahan umum ko...

Baca selengkapnya