Yahoo исправляет уязвимость, позволяющую хакерам подслушивать электронные письма

Yahoo исправила ошибку в Почтовый сервис это могло позволить хакерам подслушивать электронные письма пользователей почти через год после того, как та же ошибка была обнаружена и исправлена. Йоуко Пиннонен из Финляндии получил от Yahoo 10 000 долларов за раскрытие новой уязвимости, которую Yahoo устранила в прошлом месяце.

Уязвимость касалась атаки межсайтового сценария, которая давала злоумышленнику разрешение на чтение электронной почты пользователя или создание вируса для заражения учетных записей Yahoo Mail. Пиннонен объяснил, что пользователь должен просмотреть электронную почту злоумышленника, чтобы ошибка сработала.

Ошибка была похожа на старую уязвимость Yahoo Mail, которую Пиннонен обнаружил в прошлом году, которая могла дать хакерам полный контроль над учетной записью Yahoo Mail.

Недостаток фильтров Yahoo

Пиннонен назвал недостаток в фильтре Yahoo для HTML-сообщений виновником последней уязвимости. Фильтр блокирует вредоносный код из браузера пользователя. По словам исследователя, фильтр не смог уловить все атрибуты вредоносных данных. Затем хакер может выполнить вредоносный JavaScript, просто отправив жертве настраиваемое электронное письмо.

Исследователь обнаружил недостаток в представлении создания электронного письма, в котором различные варианты вложений обращали его внимание на потенциальную ошибку в базовой фильтрации HTML. Затем Пиннонен создал электронное письмо с различными вложениями и отправил его во внешний почтовый ящик. После осмотра сырой HTML, содержащийся в письме, привлек его внимание некоторыми вредоносными атрибутами.

«Мое внимание привлекли атрибуты data- * HTML. Во-первых, я понял, что моя прошлогодняя попытка перечислить атрибуты HTML, разрешенные фильтром Yahoo, не уловила их всех ».

Пиннонен подумал, что можно встроить несколько атрибутов HTML, которые будут проходить через фильтр HTML Yahoo. В конце концов, он обнаружил патологический случай после составления электронного письма с оскорбительными атрибутами data- *.

Ранее в этом году Yahoo подверглась критике из-за сообщений, согласно которым в даркнете было продано не менее 200 миллионов почтовых аккаунтов.

Читайте также:

  • Как войти в Почту Windows 10 с учетной записью Yahoo
  • Приложение Yahoo Mail для Windows 10 теперь синхронизирует контакты с Microsoft People
Загрузите приложение Yahoo Mail для Windows 10 бесплатно [ОБНОВЛЕНИЕ]

Загрузите приложение Yahoo Mail для Windows 10 бесплатно [ОБНОВЛЕНИЕ]Почта Яху

Yahoo! Почта уже некоторое время недоступна для загрузки в Microsoft Store.Но вы можете получить такие же результаты продуктивности, используя одну из доступных альтернатив.Между тем Yahoo! Почта о...

Читать далее
5+ лучших антивирусов для Yahoo Mail [Руководство по безопасности]

5+ лучших антивирусов для Yahoo Mail [Руководство по безопасности]Почта ЯхуАнтивирус

Если вы ищете антивирус для Yahoo Mail, наш выбор будет охватывать функции защиты от спама и фишинга.Наш лучший выбор - это ESET, инструмент сФункции защиты от кражи и экономии заряда аккумулятора....

Читать далее
Приложение Yahoo Mail для Windows 10 перестанет работать 22 мая

Приложение Yahoo Mail для Windows 10 перестанет работать 22 маяПочта Яху

Новость о том, что приложение Yahoo Mail для Windows 10 больше не будет работать, взволновала всех поклонников.Приятно знать, что приложение Yahoo Mail больше нельзя загрузить.Пользователи Yahoo Ma...

Читать далее