Yahoo lapper sårbarhet slik at hackere kan avlytte e-post

Yahoo har løst en feil i sin Posttjeneste som kunne ha tillatt hackere å avlytte bruker-e-post nesten et år etter at den samme feilen ble avslørt og lappet. Jouko Pynnonen fra Finland mottok $ 10 000 fra Yahoo for å ha avslørt den nye sårbarheten, som Yahoo løste i forrige måned.

Feilen gjaldt et skriptangrep på tvers av nettsteder som ga en angriper tillatelse til å lese brukerens e-post eller opprette et virus for å infisere Yahoo Mail-kontoer. Pynnonen forklarte at en bruker må se e-posten fra en angriper for at feilen skal fungere.

Feilen lignet på en gammel Yahoo Mail-feil som Pynnonen oppdaget i fjor som kunne gi hackere full kontroll over en Yahoo Mail-konto.

Mangel i Yahoo-filtre

Pynnonen nevnte en mangel i Yahoos filter for HTML-meldinger som skyldige for det siste sårbarheten. Filteret fungerer for å blokkere ondsinnet kode fra brukerens nettleser. Ifølge forskeren klarte ikke filteret å fange opp alle de ondsinnede dataattributtene. En hacker kan da utføre ondsinnet JavaScript bare ved å sende en tilpasset e-post til offeret.

Forskeren oppdaget feilen i e-postkomponeringsvisningen, hvor ulike vedleggsmuligheter vekte oppmerksomhet mot potensiell feil i grunnleggende HTML-filtrering. Pynnonen opprettet deretter en e-post med forskjellige vedlegg og sendte meldingen til en ekstern postkasse. Ved inspeksjon av HTML inneholdt i e-posten, noen ondsinnede attributter fanget hans oppmerksomhet.

“Det som fanget øynene mine var data- * HTML-attributtene. Først innså jeg at mitt siste års forsøk på å oppregne HTML-attributter som er tillatt av Yahoos filter, ikke fanget dem alle. "

Pynnonen trodde det var mulig å legge inn flere HTML-attributter som ville passere gjennom Yahoos HTML-filter. Han fant til slutt en patologisk sak etter å ha skrevet en e-post med voldelige data- * attributter.

Yahoo har vært under skudd tidligere i år etter rapporter som indikerer at minst 200 millioner e-postkontoer ble solgt på det mørke nettet.

Les også:

  • Slik logger du på Windows 10 Mail med en Yahoo-konto
  • Yahoo Mail-appen for Windows 10 synkroniserer nå kontakter med Microsoft People
Trenger du en god nettleser å bruke med Yahoo Mail? Her er våre toppvalg

Trenger du en god nettleser å bruke med Yahoo Mail? Her er våre toppvalgYahoo E PostNettleser

Tidsbesparende programvare- og maskinvarekompetanse som hjelper 200 millioner brukere årlig. Guider deg med råd, nyheter og tips for å oppgradere ditt tekniske liv.Opera-nettleserOpera er det beste...

Les mer
Yahoo Mail for Windows 8, Windows 10 OS [2018 gjennomgang]

Yahoo Mail for Windows 8, Windows 10 OS [2018 gjennomgang]Yahoo E PostWindows 10E Post

For å fikse forskjellige PC-problemer, anbefaler vi DriverFix:Denne programvaren vil holde driverne dine i gang, og dermed beskytte deg mot vanlige datamaskinfeil og maskinvarefeil. Sjekk alle driv...

Les mer
Last ned Yahoo Mail-appen for Windows 10 gratis [UPDATE]

Last ned Yahoo Mail-appen for Windows 10 gratis [UPDATE]Yahoo E Post

Yahoo! Mail-appen er ikke lenger tilgjengelig for nedlasting i Microsoft Store på en stund nå.Men du kan ha de samme produktivitetsresultatene ved å bruke et av de tilgjengelige alternativene.I mel...

Les mer