Yahoo виправив недолік Поштова служба що могло дозволити хакерам підслуховувати електронні листи користувачів майже рік після того, як та сама помилка була розкрита та виправлена. Джоуко Піннонен з Фінляндії отримав $ 10 000 від Yahoo за розкриття нової вразливості, яку Yahoo виправила минулого місяця.
Недолік стосувався міжсайтової атаки сценаріїв, яка давала зловмисникові дозвіл читати електронну пошту користувача або створювати вірус для зараження акаунтів Yahoo Mail. Піннонен пояснив, що користувач повинен переглянути електронну пошту від зловмисника, щоб помилка працювала.
Помилка була схожа на старий недолік Yahoo Mail, який Pynnonen виявив минулого року, що може дати хакерам повний контроль над обліковим записом Yahoo Mail.
Недолік у фільтрах Yahoo
Пиннонен назвав недолік у фільтрі Yahoo для повідомлень HTML як винуватця останньої вразливості. Фільтр працює для блокування шкідливого коду з браузера користувача. За словами дослідника, фільтр не зміг зафіксувати всі шкідливі атрибути даних. Потім хакер може запустити шкідливий JavaScript, просто надіславши користувачеві електронний лист.
Дослідник виявив недолік у поданні складання електронної пошти, де різні варіанти вкладень звертали його увагу на потенційну помилку базової фільтрації HTML. Потім Піннонен створив електронний лист із різними вкладеннями та надіслав повідомлення на зовнішню поштову скриньку. Після огляду сирий HTML, що міститься в електронному листі, деякі шкідливі атрибути привернули його увагу.
«Що привернуло увагу - це атрибути data- * HTML. По-перше, я зрозумів, що мої минулорічні зусилля перерахувати атрибути HTML, дозволені фільтром Yahoo, не охопили всіх їх ".
Піннонен вважав можливим вбудувати кілька атрибутів HTML, які проходили б через HTML-фільтр Yahoo. Врешті-решт він виявив патологічний випадок після написання електронного листа з образливими атрибутами data- *.
На початку цього року Yahoo зазнав обстрілу після звітів, що свідчать про продаж щонайменше 200 мільйонів облікових записів пошти в темній мережі.
Читайте також:
- Як увійти в Windows 10 Mail за допомогою облікового запису Yahoo
- Програма Yahoo Mail для Windows 10 тепер синхронізує контакти з Microsoft People
