Yahoo remediază vulnerabilitatea permițând hackerilor să ascultă mesajele de e-mail
Cuprins:
Video: M-am intorsin lumea hackerilor! 2024
Yahoo a remediat un defect în serviciul său de poștă, care ar fi putut permite hackerilor să ascultă mesajele de e-mail ale utilizatorilor la aproape un an după ce același bug a fost dezvăluit și plasat. Jouko Pynnonen din Finlanda a primit 10.000 de dolari de la Yahoo pentru dezvăluirea noii vulnerabilități, pe care Yahoo a stabilit-o luna trecută.
Defectul a avut ca obiect un atac de scripturi între site-uri, care a acordat unui atacator permisiunea de a citi e-mail-ul unui utilizator sau de a crea un virus pentru a infecta conturile Yahoo Mail. Pynnonen a explicat că un utilizator trebuie să vadă e-mailul de la un atacator pentru ca bug-ul să funcționeze.
Bug-ul a fost similar cu un vechi defect de Mail Mail pe care Pynnonen l-a descoperit anul trecut, care ar putea oferi hackerilor un control complet asupra unui cont Yahoo Mail.
Deficiențe în filtrele Yahoo
Pynnonen a menționat un defect în filtrul Yahoo pentru mesajele HTML drept vinovat pentru ultima vulnerabilitate. Filtrul funcționează pentru a bloca codul rău intenționat din browserul utilizatorului. Potrivit cercetătorului, filtrul nu a reușit să surprindă toate atributele de date dăunătoare. Un hacker ar putea apoi să execute JavaScript rău intenționat doar prin trimiterea unui e-mail personalizat victimei.
Cercetătorul a descoperit defectul în vizualizarea de compunere a e-mailului, unde diverse opțiuni de atașare i-au atras atenția asupra potențialelor erori din filtrarea HTML de bază. Pynnonen a creat apoi un e-mail cu diferite atașamente și a trimis mesajul la o căsuță poștală externă. La inspectarea HTML-ului brut conținut în e-mail, unele atribute rău intenționate i-au atras atenția.
„Ceea ce mi-a atras atenția au fost atributele HTML- date- * HTML. În primul rând, mi-am dat seama că efortul meu de anul trecut de a enumera atributele HTML permise de filtrul Yahoo nu le-a prins pe toate."
Pynnonen a considerat că este posibil să încorporați mai multe atribute HTML care să treacă prin filtrul HTML al Yahoo. În cele din urmă, a găsit un caz patologic după ce a scris un e-mail cu atribute abuzive de date *.
Yahoo a luat foc la începutul acestui an în urma unor rapoarte care indică cel puțin 200 de milioane de conturi de mail au fost vândute pe web-ul întunecat.
Citește și:
- Cum să vă conectați la Windows 10 Mail cu un cont Yahoo
- Aplicația Yahoo Mail pentru Windows 10 sincronizează acum contactele cu Microsoft People
Vulnerabilitatea Chrome permite hackerilor să colecteze datele utilizatorului prin fișiere pdf
O vulnerabilitate recentă Chrome de zero zile care exploatează documente PDF le permite atacatorilor să recolteze date sensibile atunci când utilizatorii utilizează browserul pentru a vizualiza fișiere PDF.
Vulnerabilitatea serverului Exchange oferă privilegiilor de administrare hackerilor
O nouă vulnerabilitate a fost găsită în Microsoft Exchange Server 2013, 2016 și 2019. Această nouă vulnerabilitate se numește PrivExchange.
Vulnerabilitatea Outlook permite hackerilor să fure hashes de parole
Microsoft Outlook este una dintre cele mai populare platforme de e-mail din lume. Mă bazez personal pe adresa mea de e-mail Outlook pentru activități legate de muncă, precum și pentru sarcini personale. Din păcate, este posibil ca Outlook să nu fie la fel de sigură pe cât ne-ar dori să le gândim utilizatorii. Potrivit unui raport publicat de Carnegie Mellon Software Engineering Institute, Outlook ...
