Yahoo исправила ошибку в Почтовый сервис это могло позволить хакерам подслушивать электронные письма пользователей почти через год после того, как та же ошибка была обнаружена и исправлена. Йоуко Пиннонен из Финляндии получил от Yahoo 10 000 долларов за раскрытие новой уязвимости, которую Yahoo устранила в прошлом месяце.
Уязвимость касалась атаки межсайтового сценария, которая давала злоумышленнику разрешение на чтение электронной почты пользователя или создание вируса для заражения учетных записей Yahoo Mail. Пиннонен объяснил, что пользователь должен просмотреть электронную почту злоумышленника, чтобы ошибка сработала.
Ошибка была похожа на старую уязвимость Yahoo Mail, которую Пиннонен обнаружил в прошлом году, которая могла дать хакерам полный контроль над учетной записью Yahoo Mail.
Недостаток фильтров Yahoo
Пиннонен назвал недостаток в фильтре Yahoo для HTML-сообщений виновником последней уязвимости. Фильтр блокирует вредоносный код из браузера пользователя. По словам исследователя, фильтр не смог уловить все атрибуты вредоносных данных. Затем хакер может выполнить вредоносный JavaScript, просто отправив жертве настраиваемое электронное письмо.
Исследователь обнаружил недостаток в представлении создания электронного письма, в котором различные варианты вложений обращали его внимание на потенциальную ошибку в базовой фильтрации HTML. Затем Пиннонен создал электронное письмо с различными вложениями и отправил его во внешний почтовый ящик. После осмотра сырой HTML, содержащийся в письме, привлек его внимание некоторыми вредоносными атрибутами.
«Мое внимание привлекли атрибуты data- * HTML. Во-первых, я понял, что моя прошлогодняя попытка перечислить атрибуты HTML, разрешенные фильтром Yahoo, не уловила их всех ».
Пиннонен подумал, что можно встроить несколько атрибутов HTML, которые будут проходить через фильтр HTML Yahoo. В конце концов, он обнаружил патологический случай после составления электронного письма с оскорбительными атрибутами data- *.
Ранее в этом году Yahoo подверглась критике из-за сообщений, согласно которым в даркнете было продано не менее 200 миллионов почтовых аккаунтов.
Читайте также:
- Как войти в Почту Windows 10 с учетной записью Yahoo
- Приложение Yahoo Mail для Windows 10 теперь синхронизирует контакты с Microsoft People
