Yahoo кръпва уязвимостта, позволяваща на хакерите да подслушват електронна поща
Съдържание:
Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) 2024
Yahoo отстрани недостатък в своята пощенска услуга, който би могъл да позволи на хакерите да подслушват имейлите на потребителите близо година след разкриването и надлепването на същата грешка. Джоко Пинонен от Финландия получи 10 000 долара от Yahoo за разкриване на новата уязвимост, която Yahoo фиксира миналия месец.
Недостатъкът се отнасяше до скриптираща атака между сайтове, която даде на нападателя да чете имейл на потребител или да създаде вирус, който да заразява акаунти на Yahoo Mail. Pynnonen обясни, че потребителят трябва да преглежда имейла от нападател, за да работи грешката.
Бъгът беше подобен на стар недостатък на Yahoo Mail, който Pynnonen откри миналата година, който може да даде на хакерите пълен контрол над акаунта в Yahoo Mail.
Недостатък в Yahoo филтрите
Pynnonen посочи недостатък във филтъра на Yahoo за HTML съобщения като виновник за най-новата уязвимост. Филтърът работи за блокиране на злонамерен код от браузъра на потребителя. Според изследователя, филтърът не успя да улови всички атрибути на злонамерени данни. След това хакер може да изпълни злонамерен JavaScript, само като изпрати потребителски имейл на жертвата.
Изследователят откри недостатъка в изгледа за съставяне на имейли, където различни опции за прикачване привличаха вниманието му към потенциални грешки в основното филтриране на HTML. След това Pynnonen създаде имейл с различни прикачени файлове и изпрати съобщението до външна пощенска кутия. При проверка на суровия HTML, съдържащ се в имейла, някои злонамерени атрибути привлякоха вниманието му.
„Това, което ми хвърли око, бяха атрибутите на данни- * HTML. Първо разбрах, че усилията ми от миналата година да изброя HTML атрибути, разрешени от филтъра на Yahoo, не успяха да ги обхванат всички."
Pynnonen смята, че е възможно да се вградят няколко HTML атрибута, които да преминат през HTML филтъра на Yahoo. В крайна сметка той намери патологичен случай, след като състави имейл с атрибути на данни *.
Yahoo беше под обстрел в началото на тази година след доклади, които сочат, че най-малко 200 милиона акаунти за поща са били продадени в тъмната мрежа.
Прочетете също:
- Как да влезете в Windows 10 Mail с акаунт в Yahoo
- Приложението Yahoo Mail за Windows 10 сега синхронизира контакти с Microsoft People
Уязвимостта на Chrome позволява на хакерите да събират потребителски данни чрез pdf файлове
Скорошна уязвимост на Chrome с нулев ден, използваща PDF документи, позволява на нападателите да събират чувствителни данни, когато потребителите използват браузъра за преглед на PDF файлове.
Т.е. уязвимостта, позволяваща на атакуващите да намерят файлове на вашия диск се поправят
Актуализациите за февруари патч вторник фиксираха уязвимост на защитата, позволява на хакерите да видят какви файлове сте запазили на вашия диск.
Уязвимостта на сървъра за обмен на Ms предоставя на хакерите администраторски права
Нова уязвимост е открита в Microsoft Exchange Server 2013, 2016 и 2019. Тази нова уязвимост се нарича PrivExchange.
