Yahoo corregge la vulnerabilità che consente agli hacker di intercettare le e-mail

Yahoo ha corretto un difetto nel suo Servizio postale che avrebbe potuto consentire agli hacker di intercettare le e-mail degli utenti quasi un anno dopo la divulgazione e la correzione dello stesso bug. Jouko Pynnonen dalla Finlandia ha ricevuto 10.000 dollari da Yahoo per aver rivelato la nuova vulnerabilità, che Yahoo ha corretto il mese scorso.

Il difetto riguardava un attacco di scripting tra siti che dava a un utente malintenzionato il permesso di leggere l'e-mail di un utente o creare un virus per infettare gli account Yahoo Mail. Pynnonen ha spiegato che un utente deve visualizzare l'e-mail di un utente malintenzionato affinché il bug funzioni.

Il bug era simile a un vecchio difetto di Yahoo Mail scoperto da Pynnonen l'anno scorso e che poteva dare agli hacker il controllo completo di un account Yahoo Mail.

Mancanza nei filtri di Yahoo

Pynonen ha citato una lacuna nel filtro di Yahoo per i messaggi HTML come colpevole dell'ultima vulnerabilità. Il filtro funziona per bloccare il codice dannoso dal browser dell'utente. Secondo il ricercatore, il filtro non è riuscito a catturare tutti gli attributi dei dati dannosi. Un hacker potrebbe quindi eseguire JavaScript dannoso semplicemente inviando un'e-mail personalizzata alla vittima.

Il ricercatore ha scoperto il difetto nella visualizzazione di composizione della posta elettronica, in cui varie opzioni di allegato richiamavano la sua attenzione su potenziali bug nel filtraggio HTML di base. Pynnonen ha quindi creato un'e-mail con vari allegati e ha inviato il messaggio a una casella di posta esterna. Dopo aver ispezionato il crudo HTML contenuto nell'e-mail, alcuni attributi dannosi hanno attirato la sua attenzione.

“Ciò che ha attirato la mia attenzione sono stati i dati-* attributi HTML. Innanzitutto, mi sono reso conto che il mio sforzo dell'anno scorso per enumerare gli attributi HTML consentiti dal filtro di Yahoo non li ha catturati tutti."

Pynonen pensava che fosse possibile incorporare diversi attributi HTML che sarebbero passati attraverso il filtro HTML di Yahoo. Alla fine ha trovato un caso patologico dopo aver composto un'e-mail con attributi data-* abusivi.

Yahoo è stata presa di mira all'inizio di quest'anno a seguito di rapporti che indicano che almeno 200 milioni di account di posta sono stati venduti sul dark web.

Leggi anche:

  • Come accedere a Windows 10 Mail con un account Yahoo
  • L'app Yahoo Mail per Windows 10 ora sincronizza i contatti con Microsoft People
7 modi per risolvere Yahoo Mail quando non funziona in Chrome

7 modi per risolvere Yahoo Mail quando non funziona in ChromeYahoo MailWindows 10Windows 11Cromo

Hai provato a utilizzare Yahoo Mail in un altro browser?Google Chrome è il browser Web più popolare e avanzato sviluppato dal gigante della tecnologia Google.Anche se Google Chrome funziona bene, p...

Leggi di più
Yahoo Mail non riceve email? Ecco cosa fare

Yahoo Mail non riceve email? Ecco cosa fareYahoo Mail

Prova a svuotare la cache del browser o a passare a un nuovo browserGli utenti di Yahoo Mail hanno segnalato di non ricevere posta sui loro account.Ciò potrebbe essere dovuto alla mancanza di spazi...

Leggi di più
Risolto: errore temporaneo Yahoo 15

Risolto: errore temporaneo Yahoo 15Yahoo Mail

I browser supportati e aggiornati funzionano bene con Yahoo MailSe visualizzi il messaggio temporaneo di errore 15 in Yahoo Mail, esci da tutti gli altri dispositivi su cui hai effettuato l'accesso...

Leggi di più