Yahoo menambal kerentanan yang memungkinkan peretas untuk menguping email

How to effectively deal with bots on your site? The best protection against click fraud.

Yahoo telah memperbaiki kekurangannya Layanan surat yang bisa memungkinkan peretas untuk menguping email pengguna hampir setahun setelah bug yang sama diungkapkan dan ditambal. Jouko Pynnonen dari Finlandia menerima $10.000 dari Yahoo karena mengungkapkan kerentanan baru, yang diperbaiki Yahoo bulan lalu.

Cacat tersebut berkaitan dengan serangan skrip lintas situs yang memberi penyerang izin untuk membaca email pengguna atau membuat virus untuk menginfeksi akun Yahoo Mail. Pynnonen menjelaskan bahwa pengguna harus melihat email dari penyerang agar bug berfungsi.

Bug itu mirip dengan kelemahan Yahoo Mail lama yang ditemukan Pynnonen tahun lalu yang dapat memberi peretas kendali penuh atas akun Yahoo Mail.

Kekurangan dalam filter Yahoo

Pynnonen mengutip kelemahan filter Yahoo untuk pesan HTML sebagai penyebab kerentanan terbaru. Filter berfungsi untuk memblokir kode berbahaya dari browser pengguna. Menurut peneliti, filter gagal menangkap semua atribut data berbahaya. Seorang peretas kemudian dapat mengeksekusi JavaScript berbahaya hanya dengan mengirimkan email khusus kepada korban.

instagram story viewer

Peneliti menemukan kelemahan dalam tampilan penulisan email, di mana berbagai opsi lampiran meminta perhatiannya pada potensi bug dalam pemfilteran HTML dasar. Pynnonen kemudian membuat email dengan berbagai lampiran dan mengirim pesan ke kotak surat eksternal. Setelah memeriksa mentah HTML yang terkandung dalam email, beberapa atribut berbahaya menarik perhatiannya.

“Yang menarik perhatian saya adalah data-* atribut HTML. Pertama, saya menyadari upaya tahun lalu saya untuk menghitung atribut HTML yang diizinkan oleh filter Yahoo tidak menangkap semuanya.”

Pynnonen berpikir adalah mungkin untuk menyematkan beberapa atribut HTML yang akan melewati filter HTML Yahoo. Dia akhirnya menemukan kasus patologis setelah menulis email dengan atribut data-* yang kasar.

Yahoo telah mendapat kecaman awal tahun ini menyusul laporan yang menunjukkan setidaknya 200 juta akun Mail dijual di web gelap.

Baca juga:

  • Cara masuk ke Windows 10 Mail dengan akun Yahoo
  • Aplikasi Yahoo Mail untuk Windows 10 sekarang menyinkronkan kontak dengan Microsoft People
Teachs.ru
Yahoo Mail untuk Windows 8, Windows 10 OS [Ulasan 2018]

Yahoo Mail untuk Windows 8, Windows 10 OS [Ulasan 2018]Yahoo MailWindows 10Surel

Untuk memperbaiki berbagai masalah PC, kami merekomendasikan DriverFix:Perangkat lunak ini akan menjaga driver Anda tetap aktif dan berjalan, sehingga menjaga Anda tetap aman dari kesalahan umum ko...

Baca selengkapnya
Unduh Aplikasi Yahoo Mail untuk Windows 10 Gratis [PERBARUI]

Unduh Aplikasi Yahoo Mail untuk Windows 10 Gratis [PERBARUI]Yahoo Mail

Yahoo! Aplikasi Mail tidak lagi tersedia untuk diunduh di Microsoft Store untuk beberapa waktu sekarang.Tetapi Anda dapat memiliki hasil produktivitas yang sama dengan menggunakan salah satu altern...

Baca selengkapnya
Yahoo menambal kerentanan yang memungkinkan peretas untuk menguping email

Yahoo menambal kerentanan yang memungkinkan peretas untuk menguping emailYahoo Mail

Yahoo telah memperbaiki kekurangannya Layanan surat yang bisa memungkinkan peretas untuk menguping email pengguna hampir setahun setelah bug yang sama diungkapkan dan ditambal. Jouko Pynnonen dari ...

Baca selengkapnya
ig stories viewer