Yahoo corregge la vulnerabilità che consente agli hacker di intercettare le e-mail

Yahoo ha corretto un difetto nel suo Servizio postale che avrebbe potuto consentire agli hacker di intercettare le e-mail degli utenti quasi un anno dopo la divulgazione e la correzione dello stesso bug. Jouko Pynnonen dalla Finlandia ha ricevuto 10.000 dollari da Yahoo per aver rivelato la nuova vulnerabilità, che Yahoo ha corretto il mese scorso.

Il difetto riguardava un attacco di scripting tra siti che dava a un utente malintenzionato il permesso di leggere l'e-mail di un utente o creare un virus per infettare gli account Yahoo Mail. Pynnonen ha spiegato che un utente deve visualizzare l'e-mail di un utente malintenzionato affinché il bug funzioni.

Il bug era simile a un vecchio difetto di Yahoo Mail scoperto da Pynnonen l'anno scorso e che poteva dare agli hacker il controllo completo di un account Yahoo Mail.

Mancanza nei filtri di Yahoo

Pynonen ha citato una lacuna nel filtro di Yahoo per i messaggi HTML come colpevole dell'ultima vulnerabilità. Il filtro funziona per bloccare il codice dannoso dal browser dell'utente. Secondo il ricercatore, il filtro non è riuscito a catturare tutti gli attributi dei dati dannosi. Un hacker potrebbe quindi eseguire JavaScript dannoso semplicemente inviando un'e-mail personalizzata alla vittima.

Il ricercatore ha scoperto il difetto nella visualizzazione di composizione della posta elettronica, in cui varie opzioni di allegato richiamavano la sua attenzione su potenziali bug nel filtraggio HTML di base. Pynnonen ha quindi creato un'e-mail con vari allegati e ha inviato il messaggio a una casella di posta esterna. Dopo aver ispezionato il crudo HTML contenuto nell'e-mail, alcuni attributi dannosi hanno attirato la sua attenzione.

“Ciò che ha attirato la mia attenzione sono stati i dati-* attributi HTML. Innanzitutto, mi sono reso conto che il mio sforzo dell'anno scorso per enumerare gli attributi HTML consentiti dal filtro di Yahoo non li ha catturati tutti."

Pynonen pensava che fosse possibile incorporare diversi attributi HTML che sarebbero passati attraverso il filtro HTML di Yahoo. Alla fine ha trovato un caso patologico dopo aver composto un'e-mail con attributi data-* abusivi.

Yahoo è stata presa di mira all'inizio di quest'anno a seguito di rapporti che indicano che almeno 200 milioni di account di posta sono stati venduti sul dark web.

Leggi anche:

  • Come accedere a Windows 10 Mail con un account Yahoo
  • L'app Yahoo Mail per Windows 10 ora sincronizza i contatti con Microsoft People
L'app Yahoo Mail per Windows 10 smetterà di funzionare il 22 maggio

L'app Yahoo Mail per Windows 10 smetterà di funzionare il 22 maggioYahoo Mail

La notizia che l'app Yahoo Mail per Windows 10 non funzionerà più ha preoccupato tutti i fan.È bello sapere che l'app Yahoo Mail non può più essere scaricata.Gli utenti di Yahoo Mail potranno comun...

Leggi di più
Hai bisogno di un buon browser da utilizzare con Yahoo Mail? Ecco le nostre migliori scelte

Hai bisogno di un buon browser da utilizzare con Yahoo Mail? Ecco le nostre migliori scelteYahoo MailBrowser

Competenza software e hardware per risparmiare tempo che aiuta 200 milioni di utenti all'anno. Guidandoti con consigli pratici, notizie e suggerimenti per aggiornare la tua vita tecnologica.Opera B...

Leggi di più
Yahoo Mail per Windows 8, sistema operativo Windows 10 [Recensione 2018]

Yahoo Mail per Windows 8, sistema operativo Windows 10 [Recensione 2018]Yahoo MailWindows 10E Mail

Per risolvere vari problemi del PC, consigliamo DriverFix:Questo software manterrà i driver attivi e funzionanti, proteggendoti così da errori comuni del computer e guasti hardware. Controlla subit...

Leggi di più