Yahoo naprawiło błąd w usłudze Mail, który mógł pozwolić hakerom na podsłuchiwanie wiadomości e-mail użytkowników prawie rok po ujawnieniu i załataniu tego samego błędu. Jouko Pynnonen z Finlandii otrzymał od Yahoo 10 000 USD za ujawnienie nowej luki, którą Yahoo naprawił w zeszłym miesiącu.

Wada dotyczyła skryptu typu cross-site scripting, który dał osobie atakującej pozwolenie na odczytanie wiadomości e-mail użytkownika lub utworzenie wirusa w celu zainfekowania kont Yahoo Mail. Pynnonen wyjaśnił, że użytkownik musi wyświetlić wiadomość e-mail od atakującego, aby błąd mógł działać.

Błąd był podobny do starej wady Yahoo Mail, którą Pynnonen odkrył w zeszłym roku, która mogła dać hakerom pełną kontrolę nad kontem Yahoo Mail.

Niedociągnięcia w filtrach Yahoo

Pynnonen podał braki w filtrze Yahoo dla wiadomości HTML jako winowajcę najnowszej luki w zabezpieczeniach. Filtr działa w celu blokowania złośliwego kodu z przeglądarki użytkownika. Według naukowca filtr nie przechwycił wszystkich atrybutów złośliwych danych. Haker może następnie wykonać złośliwy kod JavaScript, wysyłając niestandardową wiadomość e-mail do ofiary.

Badacz odkrył lukę w widoku tworzenia wiadomości e-mail, w którym różne opcje załączników zwracały jego uwagę na potencjalny błąd w podstawowym filtrowaniu HTML. Następnie Pynnonen utworzył wiadomość e-mail z różnymi załącznikami i wysłał wiadomość do zewnętrznej skrzynki pocztowej. Po sprawdzeniu surowego kodu HTML zawartego w wiadomości e-mail, niektóre złośliwe atrybuty zwróciły jego uwagę.

„Uwagę przykuły atrybuty HTML data-*. Po pierwsze, zdałem sobie sprawę, że mój zeszłoroczny wysiłek wyliczenia atrybutów HTML dozwolonych przez filtr Yahoo nie wyłapał wszystkich. ”

Pynnonen pomyślał, że można osadzić kilka atrybutów HTML, które przechodzą przez filtr HTML Yahoo. W końcu znalazł przypadek patologiczny po napisaniu wiadomości e-mail z obraźliwymi atrybutami data- *.

Yahoo został ostrzelany na początku tego roku po raportach wskazujących, że co najmniej 200 milionów kont pocztowych zostało sprzedanych w ciemnej sieci.

Czytaj także:

• Jak zalogować się do Poczty systemu Windows 10 za pomocą konta Yahoo
• Aplikacja Yahoo Mail na Windows 10 synchronizuje teraz kontakty z Microsoft People