Yahoo popravi ranljivost, ki hekerjem omogoča prisluškovanje e-poštnim sporočilom

Yahoo je odpravil napako Pošta to bi hekerjem omogočilo prisluškovanje uporabniških e-poštnih sporočil skoraj eno leto po razkritju in popravi iste napake. Finski Jouko Pynnonen je od Yahooja prejel 10.000 USD za razkritje nove ranljivosti, ki jo je Yahoo odpravil prejšnji mesec.

Napaka se je nanašala na napad na skripte na več spletnih mestih, ki je napadalcu dal dovoljenje za branje e-pošte uporabnika ali ustvarjanje virusa za okužbo računov Yahoo Mail. Pynnonen je pojasnil, da si mora uporabnik ogledati e-poštno sporočilo napadalca, da bo napaka delovala.

Napaka je bila podobna stari napaki Yahoo Maila, ki jo je Pynnonen odkril lani in bi lahko hekerjem omogočil popoln nadzor nad računom Yahoo Mail.

Pomanjkljivost v filtrih Yahoo

Pynnonen je kot krivca za najnovejšo ranljivost navedel pomanjkljivost Yahoovega filtra za sporočila HTML. Filter deluje tako, da blokira zlonamerno kodo iz uporabnikovega brskalnika. Po mnenju raziskovalca filter ni zajel vseh atributov zlonamernih podatkov. Nato bi lahko heker izvedel zlonamerni JavaScript, tako da žrtvi pošlje e-poštno sporočilo po meri.

Raziskovalec je odkril napako v pogledu sestavljanja e-pošte, kjer so ga različne možnosti pripenjanja opozorile na morebitne napake pri osnovnem filtriranju HTML. Nato je Pynnonen ustvaril e-poštno sporočilo z različnimi prilogami in ga poslal v zunanji nabiralnik. Po pregledu surov HTML, vsebovan v e-poštnem sporočilu, je zbudil nekaj zlonamernih lastnosti.

»V oči so mi vpadli atributi data- * HTML. Najprej sem ugotovil, da moj lanski trud, da naštejem atribute HTML, ki jih dovoljuje Yahoov filter, ni ujel vseh. "

Pynnonen je menil, da je mogoče vdelati več atributov HTML, ki bi šli skozi Yahoov filter HTML. Na koncu je našel patološki primer, potem ko je sestavil e-poštno sporočilo z neprimernimi atributi data- *.

Yahoo je bil ogrožen v začetku tega leta po poročilih, ki kažejo, da je bilo v temnem spletu prodanih vsaj 200 milijonov poštnih računov.

Preberite tudi:

  • Kako se prijaviti v Windows 10 Mail z računom Yahoo
  • Aplikacija Yahoo Mail za Windows 10 zdaj sinhronizira stike z Microsoft People
Potrebujete dober brskalnik za uporabo z Yahoo Mail? Tu so naši najboljši izbori

Potrebujete dober brskalnik za uporabo z Yahoo Mail? Tu so naši najboljši izboriYahoo MailBrskalnik

Stroškovno znanje o programski in strojni opremi, ki letno pomaga 200 milijonom uporabnikom. Vodil vas bo z nasveti, novostmi in nasveti za nadgradnjo vašega tehnološkega življenja.Brskalnik OperaO...

Preberi več
Yahoo Mail za Windows 8, OS Windows 10 [Pregled leta 2018]

Yahoo Mail za Windows 8, OS Windows 10 [Pregled leta 2018]Yahoo MailWindows 10E Naslov

Če želite odpraviti različne težave z računalnikom, priporočamo DriverFix:Ta programska oprema bo zagotovila, da bodo vaši gonilniki delovali in vas tako varovala pred pogostimi napakami računalnik...

Preberi več
Brezplačno prenesite Yahoo Mail App za Windows 10 [UPDATE]

Brezplačno prenesite Yahoo Mail App za Windows 10 [UPDATE]Yahoo Mail

Yahoo! Aplikacija Mail že nekaj časa ni več na voljo za prenos v Microsoftovi trgovini.Lahko pa imate enake rezultate glede produktivnosti z eno od razpoložljivih možnosti.Medtem Yahoo! Pošta ostaj...

Preberi več