야후는 그것의 결함을 수정했습니다 메일 서비스 같은 버그가 공개되고 패치 된 지 거의 1 년 후에 해커가 사용자 이메일을 도청 할 수있었습니다. 핀란드의 Jouko Pynnonen은 지난달 야후가 수정 한 새로운 취약점을 공개 한 이유로 야후로부터 10,000 달러를 받았습니다.
이 결함은 공격자에게 사용자의 이메일을 읽거나 야후 메일 계정을 감염시키는 바이러스를 생성 할 수있는 권한을주는 크로스 사이트 스크립팅 공격과 관련이 있습니다. Pynnonen은 버그가 작동하려면 사용자가 공격자의 이메일을 확인해야한다고 설명했습니다.
이 버그는 Pynnonen이 작년에 발견 한 오래된 Yahoo Mail 결함과 유사하여 해커가 Yahoo Mail 계정을 완전히 제어 할 수 있습니다.
야후 필터의 단점
Pynnonen은 최신 취약점의 원인으로 Yahoo의 HTML 메시지 필터의 단점을 언급했습니다. 필터는 사용자의 브라우저에서 악성 코드를 차단합니다. 연구원에 따르면 필터는 모든 악성 데이터 속성을 캡처하지 못했습니다. 그런 다음 해커는 피해자에게 맞춤 이메일을 보내는 것만으로 악성 자바 스크립트를 실행할 수 있습니다.
연구원은 다양한 첨부 옵션이 기본 HTML 필터링의 잠재적 인 버그에주의를 환기시키는 이메일 작성보기의 결함을 발견했습니다. 그런 다음 Pynnonen은 다양한 첨부 파일이 포함 된 이메일을 작성하고 메시지를 외부 사서함으로 보냈습니다. 검사시 노골적인 이메일에 포함 된 HTML, 일부 악성 속성이 그의주의를 끌었습니다.
“내 눈을 사로 잡은 것은 data- * HTML 속성이었습니다. 첫째, 작년에 Yahoo의 필터에서 허용하는 HTML 속성을 열거하려는 노력이 모든 속성을 포착하지 못했다는 것을 깨달았습니다. "
Pynnonen은 Yahoo의 HTML 필터를 통과하는 여러 HTML 속성을 포함 할 수 있다고 생각했습니다. 그는 악의적 인 데이터 * 속성으로 이메일을 작성한 후 결국 병리학적인 사례를 발견했습니다.
야후는 올해 초 다크 웹에서 최소 2 억 개의 메일 계정이 판매되었다는보고에 따라 불을 지폈습니다.
또한 읽으십시오 :
- Yahoo 계정으로 Windows 10 Mail에 로그인하는 방법
- Windows 10 용 Yahoo Mail 앱은 이제 연락처를 Microsoft People과 동기화합니다.
![무료로 Windows 10 용 Yahoo Mail 앱 다운로드 [업데이트]](/f/a4d0c10da20519648f822bb7bc14ae41.jpg?width=300&height=460)
