Yahoo korrigerar sårbarhet som gör det möjligt för hackare att avlyssna efter e-post
Innehållsförteckning:
Video: free6 2024
Yahoo har fixat en brist i sin posttjänst som kunde ha gjort det möjligt för hackare att avlyssna användarmeddelanden nästan ett år efter att samma bugg avslöjades och lappades. Jouko Pynnonen från Finland fick 10 000 dollar från Yahoo för att avslöja den nya sårbarheten, som Yahoo fixade förra månaden.
Felet gällde ett script-attack på flera platser som gav en angripare tillstånd att läsa användarens e-post eller skapa ett virus för att infektera Yahoo Mail-konton. Pynnonen förklarade att en användare måste se e-postmeddelandet från en angripare för att felet ska fungera.
Buggen liknade en gammal Yahoo Mail-brist som Pynnonen upptäckte förra året som kunde ge hackare fullständig kontroll över ett Yahoo Mail-konto.
Brist i Yahoo-filter
Pynnonen citerade en brist i Yahoos filter för HTML-meddelanden som den skyldige för den senaste sårbarheten. Filtret fungerar för att blockera skadlig kod från användarens webbläsare. Enligt forskaren misslyckades filtret med att fånga alla skadliga dataattribut. En hackare kan sedan köra skadlig JavaScript bara genom att skicka ett anpassat e-postmeddelande till offret.
Forskaren upptäckte bristen i e-postkomponeringsvyn, där olika bilagealternativ uppmärksammade potentiellt fel i grundläggande HTML-filtrering. Pynnonen skapade sedan ett e-postmeddelande med olika bilagor och skickade meddelandet till en extern brevlåda. Efter att ha inspekterat den råa HTML-koden som finns i e-postmeddelandet fångade vissa skadliga attribut hans uppmärksamhet.
”Det som fick mitt öga var data- * HTML-attributen. Först insåg jag att mitt förra års ansträngning för att räkna upp HTML-attribut som tillåts av Yahoos filter inte fångade alla dem. ”
Pynnonen trodde att det var möjligt att bädda in flera HTML-attribut som skulle passera genom Yahoos HTML-filter. Han hittade så småningom ett patologiskt fall efter att ha komponerat ett e-postmeddelande med olagliga data- * attribut.
Yahoo har varit under eld tidigare i år efter rapporter som tyder på att minst 200 miljoner e-postkonton såldes på den mörka webben.
Läs också:
- Hur du loggar in på Windows 10 Mail med ett Yahoo-konto
- Yahoo Mail-appen för Windows 10 synkroniserar nu kontakter med Microsoft People
Windows 10-lösenordshanteraren buggar gör det möjligt för hackare att stjäla lösenord
Tavis Ormandy, en säkerhetsforskare på Google, hade nyligen upptäckt en sårbarhet som lurar i Windows 10's Password Manager. Det här felet tillåter cyberangripare att stjäla lösenord. Denna brist kommer med tredje part Keeper lösenordshanteraren som kommer förinstallerad på alla Windows 10-enheter. Det verkar som att denna brist är ganska lik den ...
Windows butik för företag gör det nu möjligt för devs att sälja organisationslicenser
Microsoft har gjort det lättare för utvecklare att sälja sina appar till IT-proffs. Utvecklare kan nu sälja organisationslicenser till företag via Windows Store for Business, så att administratörer kan skaffa, hantera och distribuera Windows Store-appar snabbare till deras organisations Windows 10-enheter. Detta är ett mycket klokt beslut från Microsoft med hänsyn till ...
Xbox en skärmtid gör det möjligt för föräldrar att ställa in dagbidrag för sina barn
En av dagens största föräldrarnas stora kämpar är att hålla sina barn borta från videospel hela dagen. Eftersom Microsoft arbetar för föräldrar kommer företaget ständigt med nya verktyg för föräldrar för att hålla kontroll över hur mycket tid de spenderar med att använda Xbox / PC och vad de gör. Den färskaste föräldrakontrollen ...
