Yahoo je odpravil napako Pošta to bi hekerjem omogočilo prisluškovanje uporabniških e-poštnih sporočil skoraj eno leto po razkritju in popravi iste napake. Finski Jouko Pynnonen je od Yahooja prejel 10.000 USD za razkritje nove ranljivosti, ki jo je Yahoo odpravil prejšnji mesec.
Napaka se je nanašala na napad na skripte na več spletnih mestih, ki je napadalcu dal dovoljenje za branje e-pošte uporabnika ali ustvarjanje virusa za okužbo računov Yahoo Mail. Pynnonen je pojasnil, da si mora uporabnik ogledati e-poštno sporočilo napadalca, da bo napaka delovala.
Napaka je bila podobna stari napaki Yahoo Maila, ki jo je Pynnonen odkril lani in bi lahko hekerjem omogočil popoln nadzor nad računom Yahoo Mail.
Pomanjkljivost v filtrih Yahoo
Pynnonen je kot krivca za najnovejšo ranljivost navedel pomanjkljivost Yahoovega filtra za sporočila HTML. Filter deluje tako, da blokira zlonamerno kodo iz uporabnikovega brskalnika. Po mnenju raziskovalca filter ni zajel vseh atributov zlonamernih podatkov. Nato bi lahko heker izvedel zlonamerni JavaScript, tako da žrtvi pošlje e-poštno sporočilo po meri.
Raziskovalec je odkril napako v pogledu sestavljanja e-pošte, kjer so ga različne možnosti pripenjanja opozorile na morebitne napake pri osnovnem filtriranju HTML. Nato je Pynnonen ustvaril e-poštno sporočilo z različnimi prilogami in ga poslal v zunanji nabiralnik. Po pregledu surov HTML, vsebovan v e-poštnem sporočilu, je zbudil nekaj zlonamernih lastnosti.
»V oči so mi vpadli atributi data- * HTML. Najprej sem ugotovil, da moj lanski trud, da naštejem atribute HTML, ki jih dovoljuje Yahoov filter, ni ujel vseh. "
Pynnonen je menil, da je mogoče vdelati več atributov HTML, ki bi šli skozi Yahoov filter HTML. Na koncu je našel patološki primer, potem ko je sestavil e-poštno sporočilo z neprimernimi atributi data- *.
Yahoo je bil ogrožen v začetku tega leta po poročilih, ki kažejo, da je bilo v temnem spletu prodanih vsaj 200 milijonov poštnih računov.
Preberite tudi:
- Kako se prijaviti v Windows 10 Mail z računom Yahoo
- Aplikacija Yahoo Mail za Windows 10 zdaj sinhronizira stike z Microsoft People
