Yahoo виправляє уразливість, дозволяючи хакерам підслуховувати електронні листи

Yahoo виправив недолік Поштова служба що могло дозволити хакерам підслуховувати електронні листи користувачів майже рік після того, як та сама помилка була розкрита та виправлена. Джоуко Піннонен з Фінляндії отримав $ 10 000 від Yahoo за розкриття нової вразливості, яку Yahoo виправила минулого місяця.

Недолік стосувався міжсайтової атаки сценаріїв, яка давала зловмисникові дозвіл читати електронну пошту користувача або створювати вірус для зараження акаунтів Yahoo Mail. Піннонен пояснив, що користувач повинен переглянути електронну пошту від зловмисника, щоб помилка працювала.

Помилка була схожа на старий недолік Yahoo Mail, який Pynnonen виявив минулого року, що може дати хакерам повний контроль над обліковим записом Yahoo Mail.

Недолік у фільтрах Yahoo

Пиннонен назвав недолік у фільтрі Yahoo для повідомлень HTML як винуватця останньої вразливості. Фільтр працює для блокування шкідливого коду з браузера користувача. За словами дослідника, фільтр не зміг зафіксувати всі шкідливі атрибути даних. Потім хакер може запустити шкідливий JavaScript, просто надіславши користувачеві електронний лист.

Дослідник виявив недолік у поданні складання електронної пошти, де різні варіанти вкладень звертали його увагу на потенційну помилку базової фільтрації HTML. Потім Піннонен створив електронний лист із різними вкладеннями та надіслав повідомлення на зовнішню поштову скриньку. Після огляду сирий HTML, що міститься в електронному листі, деякі шкідливі атрибути привернули його увагу.

«Що привернуло увагу - це атрибути data- * HTML. По-перше, я зрозумів, що мої минулорічні зусилля перерахувати атрибути HTML, дозволені фільтром Yahoo, не охопили всіх їх ".

Піннонен вважав можливим вбудувати кілька атрибутів HTML, які проходили б через HTML-фільтр Yahoo. Врешті-решт він виявив патологічний випадок після написання електронного листа з образливими атрибутами data- *.

На початку цього року Yahoo зазнав обстрілу після звітів, що свідчать про продаж щонайменше 200 мільйонів облікових записів пошти в темній мережі.

Читайте також:

  • Як увійти в Windows 10 Mail за допомогою облікового запису Yahoo
  • Програма Yahoo Mail для Windows 10 тепер синхронізує контакти з Microsoft People
Програма Yahoo Mail для Windows 10 перестане працювати 22 травня

Програма Yahoo Mail для Windows 10 перестане працювати 22 травняпошта Yahoo

Новина про те, що програма Yahoo Mail для Windows 10 більше не працюватиме, має всіх шанувальників.Приємно знати, що додаток Yahoo Mail більше не можна завантажувати.Користувачі Yahoo Mail все одно...

Читати далі
Потрібен хороший браузер для використання з Yahoo Mail? Ось наші найкращі вибори

Потрібен хороший браузер для використання з Yahoo Mail? Ось наші найкращі виборипошта YahooБраузер

Заощаджує час програмне та апаратне забезпечення, що допомагає 200 мільйонам користувачів щороку. Посібник із порадами, новинами та підказками щодо покращення технічного життя.Оглядач OperaOpera - ...

Читати далі
Yahoo Mail для Windows 8, ОС Windows 10 [Огляд 2018 року]

Yahoo Mail для Windows 8, ОС Windows 10 [Огляд 2018 року]пошта YahooWindows 10Електронна пошта

Щоб вирішити різні проблеми з ПК, ми рекомендуємо DriverFix:Це програмне забезпечення буде підтримувати ваші драйвери та працювати, тим самим захищаючи вас від поширених помилок комп’ютера та відмо...

Читати далі