Yahoo补丁漏洞允许黑客窃听电子邮件

目录:

视频: --°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã 2024

视频: --°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã 2024
Anonim

雅虎已修复了其邮件服务中的一个漏洞,该漏洞可能导致黑客在披露并修复同一漏洞后将近一年,窃听用户电子邮件。 来自芬兰的Jouko Pynnonen因为披露了新漏洞而从雅虎获得了10, 000美元,该漏洞已由雅虎上个月修复。

该漏洞与跨站点脚本攻击有关,该攻击使攻击者有权阅读用户的电子邮件或创建病毒来感染Yahoo Mail帐户。 Pynnonen解释说,用户必须查看攻击者的电子邮件才能使错误起作用。

该错误类似于Pynnonen去年发现的一个古老的Yahoo Mail漏洞,该漏洞可能使黑客完全控制Yahoo Mail帐户。

雅虎过滤器的缺点

Pynnonen引用了Yahoo的HTML消息过滤器中的一个缺陷,将其作为最新漏洞的罪魁祸首。 该过滤器可阻止来自用户浏览器的恶意代码。 根据研究人员的说法,过滤器无法捕获所有恶意数据属性。 黑客仅通过向受害者发送自定义电子邮件即可执行恶意JavaScript。

研究人员发现了电子邮件撰写视图中的缺陷,其中各种附件选项引起他对基本HTML过滤中潜在错误的关注。 然后,Pynnonen创建了带有各种附件的电子邮件,并将该邮件发送到外部邮箱。 在检查电子邮件中包含的 原始 HTML时,一些恶意属性引起了他的注意。

“引起我注意的是data- * HTML属性。 首先,我意识到我去年为列举Yahoo过滤器所允许的HTML属性所做的努力并未抓住所有这些属性。”

Pynnonen认为可以嵌入通过Yahoo的HTML过滤器传递的几个HTML属性。 在撰写具有滥用data- *属性的电子邮件后,他最终发现了一个病理病例。

有报道称,至少有2亿个Mail帐户在暗网上销售,雅虎在今年早些时候遭到了抨击。

另请阅读:

  • 如何使用Yahoo帐户登录Windows 10 Mail
  • Windows 10的Yahoo Mail应用程序现在将联系人与Microsoft People同步
Yahoo补丁漏洞允许黑客窃听电子邮件