Yahoo виправляє уразливість, дозволяючи хакерам підслуховувати електронні листи

Yahoo виправив недолік Поштова служба що могло дозволити хакерам підслуховувати електронні листи користувачів майже рік після того, як та сама помилка була розкрита та виправлена. Джоуко Піннонен з Фінляндії отримав $ 10 000 від Yahoo за розкриття нової вразливості, яку Yahoo виправила минулого місяця.

Недолік стосувався міжсайтової атаки сценаріїв, яка давала зловмисникові дозвіл читати електронну пошту користувача або створювати вірус для зараження акаунтів Yahoo Mail. Піннонен пояснив, що користувач повинен переглянути електронну пошту від зловмисника, щоб помилка працювала.

Помилка була схожа на старий недолік Yahoo Mail, який Pynnonen виявив минулого року, що може дати хакерам повний контроль над обліковим записом Yahoo Mail.

Недолік у фільтрах Yahoo

Пиннонен назвав недолік у фільтрі Yahoo для повідомлень HTML як винуватця останньої вразливості. Фільтр працює для блокування шкідливого коду з браузера користувача. За словами дослідника, фільтр не зміг зафіксувати всі шкідливі атрибути даних. Потім хакер може запустити шкідливий JavaScript, просто надіславши користувачеві електронний лист.

Дослідник виявив недолік у поданні складання електронної пошти, де різні варіанти вкладень звертали його увагу на потенційну помилку базової фільтрації HTML. Потім Піннонен створив електронний лист із різними вкладеннями та надіслав повідомлення на зовнішню поштову скриньку. Після огляду сирий HTML, що міститься в електронному листі, деякі шкідливі атрибути привернули його увагу.

«Що привернуло увагу - це атрибути data- * HTML. По-перше, я зрозумів, що мої минулорічні зусилля перерахувати атрибути HTML, дозволені фільтром Yahoo, не охопили всіх їх ".

Піннонен вважав можливим вбудувати кілька атрибутів HTML, які проходили б через HTML-фільтр Yahoo. Врешті-решт він виявив патологічний випадок після написання електронного листа з образливими атрибутами data- *.

На початку цього року Yahoo зазнав обстрілу після звітів, що свідчать про продаж щонайменше 200 мільйонів облікових записів пошти в темній мережі.

Читайте також:

  • Як увійти в Windows 10 Mail за допомогою облікового запису Yahoo
  • Програма Yahoo Mail для Windows 10 тепер синхронізує контакти з Microsoft People
Yahoo виправляє уразливість, дозволяючи хакерам підслуховувати електронні листи

Yahoo виправляє уразливість, дозволяючи хакерам підслуховувати електронні листипошта Yahoo

Yahoo виправив недолік Поштова служба що могло дозволити хакерам підслуховувати електронні листи користувачів майже рік після того, як та сама помилка була розкрита та виправлена. Джоуко Піннонен з...

Читати далі
Ви отримали тимчасову помилку: 19 на Yahoo Mail? Перевірте наші 3 виправлення

Ви отримали тимчасову помилку: 19 на Yahoo Mail? Перевірте наші 3 виправленняпошта YahooWindows 11Електронна пошта

Тимчасова помилка Yahoo Mail: 19 може виникнути, якщо ви використовуєте непідтримуваний браузер.Почніть з того, щоб переконатися, що ваш додаток підтримує служби та файли cookie Yahoo.Крім того, оч...

Читати далі
7 способів виправити Yahoo Mail, коли він не працює в Chrome

7 способів виправити Yahoo Mail, коли він не працює в Chromeпошта YahooWindows 10Windows 11Chrome

Чи пробували ви використовувати Yahoo Mail в іншому браузері?Google Chrome – це найпопулярніший і передовий веб-браузер, розроблений технологічним гігантом Google.Незважаючи на те, що Google Chrome...

Читати далі