Yahoo korrigerar sårbarheten så att hackare kan avlyssna e-postmeddelanden

Yahoo har fixat en brist i sin E-posttjänst det kunde ha gjort det möjligt för hackare att avlyssna användarnas e-postmeddelanden nästan ett år efter att samma fel avslöjades och lappades. Jouko Pynnonen från Finland fick 10 000 dollar från Yahoo för att avslöja den nya sårbarheten, som Yahoo fixade förra månaden.

Bristen gällde en skriptattack på flera platser som gav en angripare tillstånd att läsa en användares e-post eller skapa ett virus för att infektera Yahoo Mail-konton. Pynnonen förklarade att en användare måste se e-postmeddelandet från en angripare för att felet ska fungera.

Buggen liknade ett gammalt Yahoo Mail-fel som Pynnonen upptäckte förra året som kunde ge hackare fullständig kontroll över ett Yahoo Mail-konto.

Brist i Yahoo-filter

Pynnonen citerade en brist i Yahoos filter för HTML-meddelanden som skyldige till den senaste sårbarheten. Filtret fungerar för att blockera skadlig kod från användarens webbläsare. Enligt forskaren lyckades filtret inte fånga upp alla skadliga datattribut. En hacker kan sedan köra skadlig JavaScript bara genom att skicka en anpassad e-post till offret.

Forskaren upptäckte felet i e-postkomponeringsvyn, där olika bifogningsalternativ uppmärksammade potentiell bugg i grundläggande HTML-filtrering. Pynnonen skapade sedan ett mejl med olika bilagor och skickade meddelandet till en extern brevlåda. Vid inspektion av HTML i e-postmeddelandet, några skadliga attribut fångade hans uppmärksamhet.

“Vad som fick mig var data- * HTML-attributen. Först insåg jag att mitt förra år försökte räkna upp HTML-attribut som tillåts av Yahoos filter inte fick dem alla. ”

Pynnonen trodde att det var möjligt att bädda in flera HTML-attribut som skulle passera Yahoos HTML-filter. Han hittade så småningom ett patologiskt fall efter att ha skrivit ett e-postmeddelande med kränkande data- * attribut.

Yahoo har varit under skott tidigare i år efter rapporter som tyder på att minst 200 miljoner e-postkonton såldes på det mörka nätet.

Läs också:

  • Hur man loggar in på Windows 10 Mail med ett Yahoo-konto
  • Yahoo Mail-appen för Windows 10 synkroniserar nu kontakter med Microsoft People
5+ bästa antivirusprogram för Yahoo Mail [Säkerhetsguide]

5+ bästa antivirusprogram för Yahoo Mail [Säkerhetsguide]Yahoo PostAntivirus

Om du letar efter ett antivirusprogram för Yahoo Mail kommer vårt urval att täcka funktioner mot skräppost och nätfiske.Vårt bästa val kommer från ESET, ett verktyg som har ennti-stöld och batteris...

Läs mer
Yahoo Mail-appen för Windows 10 slutar fungera den 22 maj

Yahoo Mail-appen för Windows 10 slutar fungera den 22 majYahoo Post

Nyheten att Yahoo Mail-appen för Windows 10 inte längre fungerar har alla fans på spetsen.Det är bra att veta att Yahoo Mail-appen inte längre kan laddas ner.Yahoo Mail-användare kommer fortfarande...

Läs mer
Behöver du en bra webbläsare att använda med Yahoo Mail? Här är våra toppval

Behöver du en bra webbläsare att använda med Yahoo Mail? Här är våra toppvalYahoo PostWebbläsare

Tidsbesparande programvara och hårdvarukompetens som hjälper 200 miljoner användare varje år. Guider dig med råd, nyheter och tips för att uppgradera ditt tekniska liv.Opera BrowserOpera är det bäs...

Läs mer