Yahoo opravuje chyby, ktoré hackerom umožňujú odpočúvať e-maily

Spoločnosť Yahoo napravila chybu vo svojom Poštová služba čo mohlo hackerom umožniť odpočúvať e-maily používateľov takmer rok po zverejnení a opravení tej istej chyby. Jouko Pynnonen z Fínska dostal od spoločnosti Yahoo 10 000 dolárov za odhalenie novej chyby zabezpečenia, ktorú spoločnosť Yahoo napravila minulý mesiac.

Chyba sa týkala skriptovacieho útoku medzi stránkami, ktorý útočníkovi dal povolenie čítať e-maily používateľov alebo vytvárať vírusy na infikovanie účtov Yahoo Mail. Pynnonen vysvetlil, že aby mohla chyba fungovať, musí si používateľ pozrieť e-mail od útočníka.

Táto chyba bola podobná starej chybe Yahoo Mail, ktorú minulý rok objavila Pynnonen a ktorá mohla hackerom poskytnúť úplnú kontrolu nad účtom Yahoo Mail.

Nedostatok vo filtroch Yahoo

Pynnonen ako vinník najnovšej chyby zabezpečenia uviedol nedostatok filtra Yahoo pre správy HTML. Filter slúži na blokovanie škodlivého kódu z prehliadača používateľa. Podľa výskumníka sa filtru nepodarilo zachytiť všetky atribúty škodlivých údajov. Hacker potom mohol spustiť škodlivý JavaScript iba zaslaním vlastného e-mailu obeti.

Vedec objavil chybu v pohľade na vytváranie e-mailov, kde rôzne možnosti prílohy upozorňovali na potenciálnu chybu v základnom filtrovaní HTML. Pynnonen potom vytvoril e-mail s rôznymi prílohami a správu poslal do externej poštovej schránky. Pri kontrole surový HTML obsiahnutý v e-maile, upútali jeho pozornosť niektoré škodlivé atribúty.

"Čo ma zaujalo, boli atribúty data- * HTML." Najprv som si uvedomil, že moje minuloročné úsilie o vymenovanie atribútov HTML povolených filtrom Yahoo ich nezachytilo všetky. “

Pynnonen si myslel, že je možné vložiť niekoľko atribútov HTML, ktoré prechádzajú cez HTML filter spoločnosti Yahoo. Nakoniec našiel patologický prípad po vytvorení e-mailu so zneužívajúcimi atribútmi data- *.

Spoločnosť Yahoo bola začiatkom tohto roka pod paľbou po správach, ktoré naznačujú, že na tmavom webe sa predalo najmenej 200 miliónov poštových účtov.

Prečítajte si tiež:

  • Ako sa prihlásiť do systému Windows 10 Mail pomocou účtu Yahoo
  • Aplikácia Yahoo Mail pre Windows 10 teraz synchronizuje kontakty s Microsoft People
5+ najlepších antivírusov pre Yahoo Mail [Sprievodca zabezpečením]

5+ najlepších antivírusov pre Yahoo Mail [Sprievodca zabezpečením]Yahoo MailAntivírus

Ak hľadáte antivírus pre Yahoo Mail, náš výber bude obsahovať funkcie proti spamu a phishingu.Naša najlepšia voľba pochádza z ESETu, nástroja, ktorý obsahuje akrádeže nti a funkcie šetriace batériu...

Čítaj viac
Aplikácia Yahoo Mail pre Windows 10 prestane fungovať 22. mája

Aplikácia Yahoo Mail pre Windows 10 prestane fungovať 22. májaYahoo Mail

Správa, že aplikácia Yahoo Mail pre Windows 10 už nebude fungovať, má všetkých fanúšikov na hrane.Je dobré vedieť, že aplikáciu Yahoo Mail už nie je možné stiahnuť.Používatelia služby Yahoo Mail sa...

Čítaj viac
Potrebujete dobrý prehliadač na použitie s Yahoo Mail? Tu sú naše najlepšie tipy

Potrebujete dobrý prehliadač na použitie s Yahoo Mail? Tu sú naše najlepšie tipyYahoo MailPrehliadač

Časovo úsporné odborné znalosti v oblasti softvéru a hardvéru, ktoré pomáhajú 200 miliónom používateľov ročne. Sprievodca radami, novinkami a tipmi na vylepšenie vášho technologického života.Prehli...

Čítaj viac