Yahoo łata lukę umożliwiającą hakerom podsłuchiwanie e-maili

Yahoo naprawiło usterkę w swoim Usługa pocztowa który mógł pozwolić hakerom na podsłuchiwanie wiadomości e-mail użytkowników prawie rok po ujawnieniu i naprawieniu tego samego błędu. Jouko Pynnonen z Finlandii otrzymała od Yahoo 10 000 USD za ujawnienie nowej luki, którą Yahoo naprawiło w zeszłym miesiącu.

Błąd dotyczył ataku typu cross-site scripting, który umożliwiał atakującemu odczytanie wiadomości e-mail użytkownika lub stworzenie wirusa w celu infekowania kont Yahoo Mail. Pynnonen wyjaśnił, że aby błąd zadziałał, użytkownik musi wyświetlić wiadomość e-mail od atakującego.

Błąd był podobny do starej luki w Yahoo Mail, którą Pynnonen odkrył w zeszłym roku, a która mogła dać hakerom pełną kontrolę nad kontem Yahoo Mail.

Braki w filtrach Yahoo

Pynnonen podał braki w filtrze Yahoo dla wiadomości HTML jako winowajcę najnowszej luki w zabezpieczeniach. Filtr działa w celu blokowania złośliwego kodu z przeglądarki użytkownika. Według badacza filtr nie przechwycił wszystkich szkodliwych atrybutów danych. Haker może następnie wykonać złośliwy kod JavaScript, wysyłając ofierze niestandardową wiadomość e-mail.

Badacz odkrył lukę w widoku tworzenia wiadomości e-mail, w którym różne opcje załączników zwracały jego uwagę na potencjalny błąd w podstawowym filtrowaniu HTML. Następnie Pynnonen utworzył wiadomość e-mail z różnymi załącznikami i wysłał wiadomość do zewnętrznej skrzynki pocztowej. Po sprawdzeniu surowy HTML zawarty w e-mailu, jego uwagę przykuły złośliwe atrybuty.

„Moją uwagę przykuły atrybuty data-* HTML. Po pierwsze, zdałem sobie sprawę, że moje zeszłoroczne wysiłki, aby wyliczyć atrybuty HTML dozwolone przez filtr Yahoo, nie wyłapały ich wszystkich”.

Pynnonen pomyślał, że możliwe jest osadzenie kilku atrybutów HTML, które przejdą przez filtr HTML Yahoo. W końcu znalazł patologiczny przypadek po napisaniu wiadomości e-mail z nieodpowiednimi atrybutami danych*.

Yahoo znalazło się pod ostrzałem na początku tego roku po doniesieniach, które wskazują, że w dark webie sprzedano co najmniej 200 milionów kont pocztowych.

Przeczytaj także:

  • Jak zalogować się do systemu Windows 10 Mail za pomocą konta Yahoo
  • Aplikacja Yahoo Mail dla systemu Windows 10 synchronizuje teraz kontakty z Microsoft People
5+ najlepszych antywirusów dla poczty Yahoo [Przewodnik dotyczący bezpieczeństwa]

5+ najlepszych antywirusów dla poczty Yahoo [Przewodnik dotyczący bezpieczeństwa]Poczta YahooAntywirus

Jeśli szukasz programu antywirusowego dla poczty Yahoo, nasz wybór obejmie funkcje antyspamowe i antyphishingowe.Nasz najlepszy wybór pochodzi od ESET, narzędzia, które zawiera:nti-theft i funkcje ...

Czytaj więcej
Aplikacja Yahoo Mail na Windows 10 przestanie działać 22 maja May

Aplikacja Yahoo Mail na Windows 10 przestanie działać 22 maja MayPoczta Yahoo

Wiadomość, że aplikacja Yahoo Mail dla systemu Windows 10 nie będzie już działać, ma wszystkich fanów na krawędzi.Warto wiedzieć, że aplikacji Yahoo Mail nie można już pobrać.Użytkownicy poczty Yah...

Czytaj więcej
Potrzebujesz dobrej przeglądarki do korzystania z poczty Yahoo? Oto nasze najlepsze typy

Potrzebujesz dobrej przeglądarki do korzystania z poczty Yahoo? Oto nasze najlepsze typyPoczta YahooPrzeglądarka

Oszczędzająca czas wiedza dotycząca oprogramowania i sprzętu, która pomaga 200 mln użytkowników rocznie. Poprowadzi Cię z poradami, wiadomościami i wskazówkami, aby ulepszyć swoje życie technologic...

Czytaj więcej