Vulnerabilidade de patches do Yahoo que permite que hackers bisbilhotem e-mails

O Yahoo corrigiu uma falha em seu Serviço de correio que poderia ter permitido que hackers espionassem e-mails de usuários quase um ano depois que o mesmo bug foi divulgado e corrigido. Jouko Pynnonen, da Finlândia, recebeu US $ 10.000 do Yahoo por revelar a nova vulnerabilidade, que o Yahoo corrigiu no mês passado.

A falha dizia respeito a um ataque de script entre sites que dava a um invasor a permissão para ler o e-mail de um usuário ou criar um vírus para infectar contas do Yahoo Mail. Pynnonen explicou que um usuário deve ver o e-mail de um invasor para que o bug funcione.

O bug era semelhante a uma velha falha do Yahoo Mail que Pynnonen descobriu no ano passado, que poderia dar aos hackers o controle total de uma conta do Yahoo Mail.

Deficiência nos filtros do Yahoo

Pynnonen citou uma lacuna no filtro do Yahoo para mensagens HTML como o culpado pela vulnerabilidade mais recente. O filtro funciona para bloquear código malicioso do navegador do usuário. De acordo com o pesquisador, o filtro não conseguiu capturar todos os atributos de dados maliciosos. Um hacker pode então executar JavaScript malicioso apenas enviando um e-mail personalizado para a vítima.

O pesquisador descobriu a falha na visualização de composição do e-mail, onde várias opções de anexo chamavam sua atenção para um possível bug na filtragem HTML básica. Pynnonen então criou um e-mail com vários anexos e enviou a mensagem para uma caixa de correio externa. Ao inspecionar o cru HTML contido no e-mail, alguns atributos maliciosos chamaram sua atenção.

“O que me chamou a atenção foram os atributos data- * HTML. Primeiro, percebi que meu esforço do ano passado para enumerar os atributos HTML permitidos pelo filtro do Yahoo não pegou todos eles. ”

Pynnonen achou que era possível incorporar vários atributos HTML que passariam pelo filtro HTML do Yahoo. Ele finalmente encontrou um caso patológico depois de compor um e-mail com dados abusivos * atributos.

O Yahoo foi atacado no início deste ano, após relatos que indicam que pelo menos 200 milhões de contas do Mail foram vendidas na dark web.

Leia também:

  • Como fazer login no Windows 10 Mail com uma conta do Yahoo
  • O aplicativo Yahoo Mail para Windows 10 agora sincroniza contatos com o Microsoft People
Baixe o aplicativo Yahoo Mail para Windows 10 gratuitamente [ATUALIZAÇÃO]

Baixe o aplicativo Yahoo Mail para Windows 10 gratuitamente [ATUALIZAÇÃO]E Mail Do Yahoo

O Yahoo! O aplicativo de email não está mais disponível para download na Microsoft Store há algum tempo.Mas você pode ter os mesmos resultados de produtividade usando uma das alternativas disponíve...

Consulte Mais informação
Vulnerabilidade de patches do Yahoo que permite que hackers bisbilhotem e-mails

Vulnerabilidade de patches do Yahoo que permite que hackers bisbilhotem e-mailsE Mail Do Yahoo

O Yahoo corrigiu uma falha em seu Serviço de correio que poderia ter permitido que hackers espionassem e-mails de usuários quase um ano depois que o mesmo bug foi divulgado e corrigido. Jouko Pynno...

Consulte Mais informação
Obteve o erro temporário: 19 no Yahoo Mail? Confira nossas 3 correções

Obteve o erro temporário: 19 no Yahoo Mail? Confira nossas 3 correçõesE Mail Do YahooWindows 11E Mail

O erro temporário do Yahoo Mail: 19 pode ser causado quando você usa um navegador não suportado.Comece certificando-se de que seu aplicativo seja compatível com os serviços e cookies do Yahoo.Como ...

Consulte Mais informação