Yahoo corregge la vulnerabilità consentendo agli hacker di intercettare e-mail
Sommario:
Video: Yahoo Answers APK: La soluzione definitiva? 2024
Yahoo ha risolto un difetto nel suo servizio di posta che avrebbe potuto consentire agli hacker di intercettare le e-mail degli utenti quasi un anno dopo che lo stesso bug era stato rivelato e corretto. Jouko Pynnonen dalla Finlandia ha ricevuto $ 10.000 da Yahoo per aver rivelato la nuova vulnerabilità, che Yahoo ha risolto il mese scorso.
Il difetto riguardava un attacco di scripting su più siti che ha dato a un utente malintenzionato l'autorizzazione a leggere l'email di un utente o creare un virus per infettare gli account di Yahoo Mail. Pynnonen ha spiegato che un utente deve visualizzare l'e-mail di un utente malintenzionato affinché il bug funzioni.
Il bug era simile a un vecchio difetto di Yahoo Mail che Pynnonen aveva scoperto l'anno scorso che poteva dare agli hacker il controllo completo di un account Yahoo Mail.
Mancanza nei filtri Yahoo
Pynnonen ha citato un difetto nel filtro Yahoo per i messaggi HTML come colpevole dell'ultima vulnerabilità. Il filtro funziona per bloccare il codice dannoso dal browser dell'utente. Secondo il ricercatore, il filtro non è riuscito a catturare tutti gli attributi di dati dannosi. Un hacker potrebbe quindi eseguire JavaScript dannoso semplicemente inviando un'e-mail personalizzata alla vittima.
Il ricercatore ha scoperto il difetto nella vista di composizione dell'email, in cui varie opzioni di allegato richiamavano la sua attenzione su potenziali bug nel filtro HTML di base. Pynnonen ha quindi creato un'e-mail con vari allegati e ha inviato il messaggio a una cassetta postale esterna. Dopo aver ispezionato il codice HTML non elaborato contenuto nell'email, alcuni attributi dannosi hanno attirato la sua attenzione.
“Ciò che ha attirato la mia attenzione sono stati i dati- * attributi HTML. Innanzitutto, ho realizzato che il mio ultimo anno di enumerazione degli attributi HTML consentiti dal filtro di Yahoo non li ha catturati tutti."
Pynnonen pensava che fosse possibile incorporare diversi attributi HTML che sarebbero passati attraverso il filtro HTML di Yahoo. Alla fine ha trovato un caso patologico dopo aver composto una e-mail con dati * * offensivi.
Yahoo è stata colpita all'inizio dell'anno a seguito di segnalazioni che indicano che almeno 200 milioni di account di posta sono stati venduti sul web oscuro.
Leggi anche:
- Come accedere a Windows 10 Mail con un account Yahoo
- L'app Yahoo Mail per Windows 10 ora sincronizza i contatti con Microsoft People
La vulnerabilità di Chrome consente agli hacker di raccogliere i dati degli utenti tramite file pdf
Una recente vulnerabilità di Chrome zero-day che sfrutta i documenti PDF consente agli aggressori di raccogliere dati sensibili quando gli utenti utilizzano il browser per visualizzare i file PDF.
La vulnerabilità di Exchange Server conferisce privilegi di amministratore agli hacker
È stata rilevata una nuova vulnerabilità in Microsoft Exchange Server 2013, 2016 e 2019. Questa nuova vulnerabilità è denominata PrivExchange.
La vulnerabilità di Outlook consente agli hacker di rubare gli hash delle password
Microsoft Outlook è una delle piattaforme di posta elettronica più popolari al mondo. Personalmente mi affido al mio indirizzo e-mail di Outlook per le attività lavorative e personali. Sfortunatamente, Outlook potrebbe non essere così sicuro come vorremmo pensare noi utenti. Secondo un rapporto pubblicato dal Carnegie Mellon Software Engineering Institute, Outlook ...
