יאהו תיקן פגם בה שירות דואר זה יכול היה לאפשר להאקרים לצותת להודעות דוא"ל של משתמשים כמעט שנה לאחר שנחשף ותוקן אותו הבאג. ז'וקו פיננונן מפינלנד קיבל 10,000 דולר מיאהו על חשיפת הפגיעות החדשה שתיקנה יאהו בחודש שעבר.
הפגם נגע להתקפת סקריפטים בין אתרים שנתנה לתוקף את האישור לקרוא דוא"ל של משתמש או ליצור וירוס להדבקת חשבונות Yahoo Mail. פיננונן הסביר כי על המשתמש להציג את הדוא"ל מתוקף כדי שהבאג יעבוד.
הבאג היה דומה לפגם ישן ביאהו מייל שפינונן גילה בשנה שעברה שיכול להעניק להאקרים שליטה מלאה בחשבון הדואר של יאהו.
חסרון במסנני יאהו
פיננונן ציין חסרון בפילטר של Yahoo להודעות HTML כאשם לפגיעות האחרונה. המסנן פועל לחסימת קוד זדוני מדפדפן המשתמש. לדברי החוקר, המסנן לא הצליח לתפוס את כל מאפייני הנתונים הזדוניים. לאחר מכן האקר יכול לבצע JavaScript זדוני רק על ידי שליחת דוא"ל מותאם אישית לקורבן.
החוקר גילה את הפגם בתצוגת ההלחנה בדוא"ל, כאשר אפשרויות קבצים מצורפים שונים הפנו את תשומת ליבו לבאג פוטנציאלי בסינון HTML בסיסי. פיננונן יצר אז אימייל עם קבצים מצורפים שונים ושלח את ההודעה לתיבת דואר חיצונית. לאחר בדיקת ה- גלם HTML הכלול בדוא"ל, כמה תכונות זדוניות משכו את תשומת ליבו.
"מה שתפס את עיניי היו מאפייני הנתונים * * של HTML. ראשית, הבנתי שהמאמץ שלי בשנה שעברה למנות מאפייני HTML שמותר על ידי המסנן של יאהו לא תפס את כולם. "
פיננונן חשב שאפשר להטמיע כמה תכונות HTML שיעברו דרך מסנן ה- HTML של יאהו. בסופו של דבר הוא מצא מקרה פתולוגי לאחר שחיבר דוא"ל עם מאפייני נתונים * פוגעניים.
יאהו ספגה מוקדם יותר השנה בעקבות דיווחים המצביעים על לפחות 200 מיליון חשבונות דואר שנמכרו ברשת החשוכה.
קרא גם:
- כיצד להיכנס ל- Windows 10 Mail באמצעות חשבון Yahoo
- אפליקציית Yahoo Mail עבור Windows 10 מסנכרנת כעת אנשי קשר עם אנשי Microsoft
![Yahoo Mail עבור Windows 8, מערכת ההפעלה Windows 10 [סקירת 2018]](/f/8704eedda3e8d5a2eee16896483e1737.jpg?width=300&height=460)