Yahoo patcht kwetsbaarheid waardoor hackers e-mails kunnen afluisteren

Yahoo heeft een fout verholpen in zijn Post bezorging waardoor hackers bijna een jaar nadat dezelfde bug was onthuld en gepatcht, e-mails van gebruikers hadden kunnen afluisteren. Jouko Pynnonen uit Finland ontving $ 10.000 van Yahoo voor het onthullen van de nieuwe kwetsbaarheid, die Yahoo vorige maand heeft verholpen.

De fout betrof een cross-site scripting-aanval die een aanvaller toestemming gaf om de e-mail van een gebruiker te lezen of een virus te maken om Yahoo Mail-accounts te infecteren. Pynnonen legde uit dat een gebruiker de e-mail van een aanvaller moet bekijken om de bug te laten werken.

De bug leek op een oude Yahoo Mail-fout die Pynnonen vorig jaar ontdekte en die hackers volledige controle over een Yahoo Mail-account zou kunnen geven.

Tekortkoming in Yahoo-filters

Pynnonen noemde een tekortkoming in Yahoo's filter voor HTML-berichten als de boosdoener voor de nieuwste kwetsbaarheid. Het filter werkt om schadelijke code uit de browser van de gebruiker te blokkeren. Volgens de onderzoeker kon het filter niet alle kwaadaardige data-attributen opvangen. Een hacker kan vervolgens kwaadaardig JavaScript uitvoeren door gewoon een aangepaste e-mail naar het slachtoffer te sturen.

De onderzoeker ontdekte de fout in de weergave voor het opstellen van e-mail, waar verschillende bijlage-opties zijn aandacht vestigden op een mogelijke fout in elementaire HTML-filtering. Pynnonen maakte vervolgens een e-mail met verschillende bijlagen en stuurde het bericht naar een externe mailbox. Bij inspectie van de rauw HTML in de e-mail, enkele kwaadaardige attributen trokken zijn aandacht.

“Wat mij opviel waren de data-* HTML-attributen. Ten eerste realiseerde ik me dat mijn poging van vorig jaar om HTML-attributen op te sommen die door Yahoo's filter zijn toegestaan, ze niet allemaal hebben opgevangen.'

Pynnonen dacht dat het mogelijk was om verschillende HTML-attributen in te sluiten die door Yahoo's HTML-filter zouden gaan. Hij vond uiteindelijk een pathologisch geval na het opstellen van een e-mail met beledigende data-*-attributen.

Yahoo lag eerder dit jaar onder vuur na rapporten die aangeven dat er minstens 200 miljoen Mail-accounts zijn verkocht op het dark web.

Lees ook:

  • Aanmelden bij Windows 10 Mail met een Yahoo-account
  • Yahoo Mail-app voor Windows 10 synchroniseert nu contacten met Microsoft People
Opgelost: Yahoo tijdelijke fout 15

Opgelost: Yahoo tijdelijke fout 15Yahoo Mail

Ondersteunde en up-to-date browsers werken goed met Yahoo MailAls u het tijdelijke foutbericht 15 in Yahoo Mail ziet, meldt u zich af bij alle andere apparaten waarop u bent ingelogd en probeert u ...

Lees verder