Vulnerabilidade de patches do Yahoo que permite que hackers bisbilhotem e-mails

O Yahoo corrigiu uma falha em seu Serviço de correio que poderia ter permitido que hackers espionassem e-mails de usuários quase um ano depois que o mesmo bug foi divulgado e corrigido. Jouko Pynnonen, da Finlândia, recebeu US $ 10.000 do Yahoo por revelar a nova vulnerabilidade, que o Yahoo corrigiu no mês passado.

A falha dizia respeito a um ataque de script entre sites que dava a um invasor a permissão para ler o e-mail de um usuário ou criar um vírus para infectar contas do Yahoo Mail. Pynnonen explicou que um usuário deve ver o e-mail de um invasor para que o bug funcione.

O bug era semelhante a uma velha falha do Yahoo Mail que Pynnonen descobriu no ano passado, que poderia dar aos hackers o controle total de uma conta do Yahoo Mail.

Deficiência nos filtros do Yahoo

Pynnonen citou uma lacuna no filtro do Yahoo para mensagens HTML como o culpado pela vulnerabilidade mais recente. O filtro funciona para bloquear código malicioso do navegador do usuário. De acordo com o pesquisador, o filtro não conseguiu capturar todos os atributos de dados maliciosos. Um hacker pode então executar JavaScript malicioso apenas enviando um e-mail personalizado para a vítima.

O pesquisador descobriu a falha na visualização de composição do e-mail, onde várias opções de anexo chamavam sua atenção para um possível bug na filtragem HTML básica. Pynnonen então criou um e-mail com vários anexos e enviou a mensagem para uma caixa de correio externa. Ao inspecionar o cru HTML contido no e-mail, alguns atributos maliciosos chamaram sua atenção.

“O que me chamou a atenção foram os atributos data- * HTML. Primeiro, percebi que meu esforço do ano passado para enumerar os atributos HTML permitidos pelo filtro do Yahoo não pegou todos eles. ”

Pynnonen achou que era possível incorporar vários atributos HTML que passariam pelo filtro HTML do Yahoo. Ele finalmente encontrou um caso patológico depois de compor um e-mail com dados abusivos * atributos.

O Yahoo foi atacado no início deste ano, após relatos que indicam que pelo menos 200 milhões de contas do Mail foram vendidas na dark web.

Leia também:

  • Como fazer login no Windows 10 Mail com uma conta do Yahoo
  • O aplicativo Yahoo Mail para Windows 10 agora sincroniza contatos com o Microsoft People
Obteve o erro temporário: 19 no Yahoo Mail? Confira nossas 3 correções

Obteve o erro temporário: 19 no Yahoo Mail? Confira nossas 3 correçõesE Mail Do YahooWindows 11E Mail

O erro temporário do Yahoo Mail: 19 pode ser causado quando você usa um navegador não suportado.Comece certificando-se de que seu aplicativo seja compatível com os serviços e cookies do Yahoo.Como ...

Consulte Mais informação
7 maneiras de corrigir o Yahoo Mail quando não está funcionando no Chrome

7 maneiras de corrigir o Yahoo Mail quando não está funcionando no ChromeE Mail Do YahooWindows 10Windows 11Cromada

Você já tentou usar o Yahoo Mail em outro navegador?O Google Chrome é o navegador web mais popular e avançado desenvolvido pela gigante de tecnologia Google.Embora o Google Chrome funcione bem, voc...

Consulte Mais informação
Yahoo Mail não está recebendo e-mails? Aqui está o que fazer

Yahoo Mail não está recebendo e-mails? Aqui está o que fazerE Mail Do Yahoo

Tente limpar o cache do navegador ou mudar para um novo navegadorOs usuários do Yahoo Mail relataram não receber e-mails em suas contas.Isso pode ocorrer devido à falta de espaço de armazenamento e...

Consulte Mais informação