Yahoo usuwa lukę, umożliwiając hakerom podsłuchiwanie wiadomości e-mail
Spisu treści:
Wideo: СТАЛ ХАКЕРОМ 999,999,999 В РОБЛОКС ! СИМУЛЯТОР ХАКРЕА В РОБЛОКС 2024
Yahoo naprawiło błąd w usłudze Mail, który mógł pozwolić hakerom na podsłuchiwanie wiadomości e-mail użytkowników prawie rok po ujawnieniu i załataniu tego samego błędu. Jouko Pynnonen z Finlandii otrzymał od Yahoo 10 000 USD za ujawnienie nowej luki, którą Yahoo naprawił w zeszłym miesiącu.
Wada dotyczyła skryptu typu cross-site scripting, który dał osobie atakującej pozwolenie na odczytanie wiadomości e-mail użytkownika lub utworzenie wirusa w celu zainfekowania kont Yahoo Mail. Pynnonen wyjaśnił, że użytkownik musi wyświetlić wiadomość e-mail od atakującego, aby błąd mógł działać.
Błąd był podobny do starej wady Yahoo Mail, którą Pynnonen odkrył w zeszłym roku, która mogła dać hakerom pełną kontrolę nad kontem Yahoo Mail.
Niedociągnięcia w filtrach Yahoo
Pynnonen podał braki w filtrze Yahoo dla wiadomości HTML jako winowajcę najnowszej luki w zabezpieczeniach. Filtr działa w celu blokowania złośliwego kodu z przeglądarki użytkownika. Według naukowca filtr nie przechwycił wszystkich atrybutów złośliwych danych. Haker może następnie wykonać złośliwy kod JavaScript, wysyłając niestandardową wiadomość e-mail do ofiary.
Badacz odkrył lukę w widoku tworzenia wiadomości e-mail, w którym różne opcje załączników zwracały jego uwagę na potencjalny błąd w podstawowym filtrowaniu HTML. Następnie Pynnonen utworzył wiadomość e-mail z różnymi załącznikami i wysłał wiadomość do zewnętrznej skrzynki pocztowej. Po sprawdzeniu surowego kodu HTML zawartego w wiadomości e-mail, niektóre złośliwe atrybuty zwróciły jego uwagę.
„Uwagę przykuły atrybuty HTML data-*. Po pierwsze, zdałem sobie sprawę, że mój zeszłoroczny wysiłek wyliczenia atrybutów HTML dozwolonych przez filtr Yahoo nie wyłapał wszystkich. ”
Pynnonen pomyślał, że można osadzić kilka atrybutów HTML, które przechodzą przez filtr HTML Yahoo. W końcu znalazł przypadek patologiczny po napisaniu wiadomości e-mail z obraźliwymi atrybutami data- *.
Yahoo został ostrzelany na początku tego roku po raportach wskazujących, że co najmniej 200 milionów kont pocztowych zostało sprzedanych w ciemnej sieci.
Czytaj także:
- Jak zalogować się do Poczty systemu Windows 10 za pomocą konta Yahoo
- Aplikacja Yahoo Mail na Windows 10 synchronizuje teraz kontakty z Microsoft People
Aktualizacja systemu Windows KB3177393 usuwa lukę w zabezpieczeniach w biurze, skype i lync
W tym miesiącu we wtorek łatka Microsoft wydała nową aktualizację zabezpieczeń KB3177393 dla każdej obsługiwanej wersji systemu Windows. Aktualizacja usuwa luki w komponencie Microsoft Graphics w systemach Windows, Office, Skype dla firm i Lync. „Ta aktualizacja zabezpieczeń usuwa luki w systemach Microsoft Windows, Microsoft Office, Skype dla firm i Microsoft Lync. Luki w zabezpieczeniach mogą pozwolić na zdalne…
Aktualizacja KB3172729 usuwa kolejną lukę w zabezpieczeniach w systemie Windows 8.1
Po usunięciu znanej luki w poprzedniej łatce Microsoft wydał kolejną aktualizację zabezpieczeń dla systemu Windows 8.1. Nowa aktualizacja ma numer KB3172729 i usuwa lukę w systemie operacyjnym Microsoft. Jak wspomniano w artykule bazy wiedzy KB3172729 firmy Microsoft, luka w zabezpieczeniach może pozwolić atakującym przejść przez zabezpieczenia systemu Windows…
Aktualizacja zabezpieczeń usuwa lukę w sterowniku partycji dysku fat32
Firma Microsoft wydała ostatnio wiele aktualizacji zabezpieczeń dla większości swoich produktów, takich jak produkty Microsoft Office i Internet Explorer. Teraz mówimy o kolejnej aktualizacji, która dotyczy FAT 32. Więcej szczegółów poniżej. Jak widać na powyższym zrzucie ekranu, w ramach ostatniego biuletynu zabezpieczeń firmy Microsoft MS14-063, który…
