Yahoo opravil chybu ve své poštovní službě, která mohla umožnit hackerům odposlouchávat e-maily uživatelů téměř rok poté, co byla stejná chyba odhalena a opravena. Jouko Pynnonen z Finska obdržel od společnosti Yahoo 10 000 $ za odhalení nové chyby zabezpečení, kterou společnost Yahoo minulý měsíc opravila.

Tato chyba se týkala útoku na skriptování napříč weby, který útočníkovi povolil číst e-maily uživatele nebo vytvářet viry infikující účty Yahoo Mail. Pynnonen vysvětlil, že uživatel musí zobrazit e-mail od útočníka, aby chyba mohla fungovat.

Chyba byla podobná staré chybě Yahoo Mail, kterou Pynnonen objevil minulý rok a která mohla hackerům poskytnout úplnou kontrolu nad účtem Yahoo Mail.

Nedostatek filtrů Yahoo

Pynnonen citoval nedostatek ve filtru Yahoo pro zprávy HTML jako viníka za nejnovější zranitelnost. Filtr blokuje škodlivý kód z prohlížeče uživatele. Podle výzkumníka se filtru nepodařilo zachytit všechny atributy škodlivých dat. Hacker by pak mohl spustit škodlivý JavaScript pouhým odesláním vlastního e-mailu oběti.

Výzkumník objevil chybu v pohledu na psaní e-mailů, kde různé možnosti přílohy vyvolaly jeho pozornost k možné chybě v základním filtrování HTML. Pynnonen pak vytvořil e-mail s různými přílohami a poslal zprávu do externí poštovní schránky. Po kontrole surového HTML obsaženého v e-mailu ho upoutaly některé škodlivé atributy.

"To, co mě zaujalo, byly datové * HTML atributy." Nejprve jsem si uvědomil, že moje loňská snaha vyjmenovat atributy HTML povolené filtrem Yahoo nezachytila ​​všechny. ““

Pynnonen si myslel, že bylo možné vložit několik atributů HTML, které by procházely filtrem Yahoo HTML. Nakonec našel patologický případ po vytvoření e-mailu s urážlivými datovými * atributy.

Yahoo byl pod palbou počátkem tohoto roku po zprávách, které uvádějí, že na tmavém webu bylo prodáno nejméně 200 milionů poštovních účtů.

Přečtěte si také:

• Jak se přihlásit do systému Windows 10 Mail pomocí účtu Yahoo
• Aplikace Yahoo Mail pro Windows 10 nyní synchronizuje kontakty s Microsoft People