Yahoo savā pasta pakalpojumā ir novērsis trūkumu, kas varēja ļaut hakeriem noklausīties lietotāju e-pastus gandrīz gadu pēc tam, kad šī pati kļūda tika atklāta un izlabota. Jouko Pynnonen no Somijas saņēma 10 000 USD no Yahoo par jaunās ievainojamības atklāšanu, kuru Yahoo noteica pagājušajā mēnesī.

Nepilnība attiecās uz vietņu skriptu uzbrukumu, kas uzbrucējam deva atļauju lasīt lietotāja e-pastu vai izveidot vīrusu, lai inficētu Yahoo Mail kontus. Pynnonen paskaidroja, ka lietotājam ir jāredz uzbrucēja e-pasts, lai kļūda darbotos.

Kļūda bija līdzīga vecam Yahoo Mail trūkumam, ko Pjunenens atklāja pagājušajā gadā, un tas varēja dot hakeriem pilnīgu kontroli pār Yahoo Mail kontu.

Trūkums Yahoo filtros

Pynnonen kā jaunākās ievainojamības vaininieks minēja Yahoo HTML ziņojumu filtra trūkumu. Filtrs darbojas, lai bloķētu ļaunprātīgu kodu no lietotāja pārlūka. Pēc pētnieka teiktā, filtram neizdevās uztvert visus ļaunprātīgo datu atribūtus. Pēc tam hakeris varēja izpildīt ļaunprātīgu JavaScript, vienkārši nosūtot cietušajam pielāgotu e-pastu.

Pētnieks atklāja trūkumus e-pasta sastādīšanas skatā, kur dažādas piestiprināšanas iespējas pievērsa viņa uzmanību potenciālajai kļūdai HTML pamata filtrēšanā. Pēc tam Pynnonen izveidoja e-pastu ar dažādiem pielikumiem un nosūtīja ziņojumu uz ārēju pastkasti. Pārbaudot e-pastā esošo neapstrādāto HTML, viņa uzmanību pievērsa daži ļaunprātīgi atribūti.

“Mani acīs ievilka datu * HTML atribūti. Pirmkārt, es sapratu, ka mana pagājušā gada centieni uzskaitīt HTML atribūtus, kurus atļauj Yahoo filtrs, neaptvēra tos visus. ”

Pynnonen domāja, ka ir iespējams iegult vairākus HTML atribūtus, kas iet caur Yahoo HTML filtru. Pēc e-pasta sastādīšanas ar ļaunprātīgiem datiem - * atribūtiem viņš beidzot atrada patoloģisku gadījumu.

Yahoo šogad ir bijis pakļauts ugunij pēc ziņojumiem, kas liecina, ka tumšajā tīmeklī ir pārdoti vismaz 200 miljoni pasta kontu.

Lasīt arī:

• Kā pierakstīties sistēmā Windows 10 Mail, izmantojot Yahoo kontu
• Yahoo Mail lietotne operētājsistēmai Windows 10 tagad sinhronizē kontaktus ar Microsoft People