A Yahoo javítja a sebezhetőséget, amely lehetővé teszi a hackerek számára, hogy lehallgassák az e-maileket
Tartalomjegyzék:
Videó: THE OUTER WORLDS RAP by JT Music - "I'm a Yahoo" 2024
A Yahoo javított egy hibát a levelezőszolgáltatásában, amely lehetővé tette a hackerek számára, hogy lehallgassák a felhasználói e-maileket majdnem egy évvel azután, hogy ugyanazt a hibát nyilvánosságra hozták és javították. A finnországi Jouko Pynnonen 10 000 dollárt kapott a Yahoo-tól az új biztonsági rés feltárása érdekében, amelyet a Yahoo a múlt hónapban rögzített.
A hiba a webhelyek közötti szkriptek támadására vonatkozott, amely felhatalmazást adott a támadónak a felhasználói e-mailek olvasására vagy a Yahoo Mail fiókok megfertőzésére vírus létrehozására. Pynnonen kifejtette, hogy a felhasználónak meg kell néznie a támadó e-mailjét, hogy a hiba működjön.
A hiba hasonló volt a Yahoo Mail régi hibájához, amelyet Pynnonen fedezett fel tavaly, és amely a hackereknek teljes ellenőrzést adhatott a Yahoo Mail fiók felett.
Hiány a Yahoo szűrőiben
Pynnonen megemlítette, hogy hiányzik a Yahoo HTML-üzenetek szűrője a legújabb sebezhetőség bűnösének. A szűrő blokkolja a rosszindulatú kódot a felhasználó böngészőjéből. A kutató szerint a szűrő nem tudta elfogni az összes rosszindulatú adat-attribútumot. A hackerek ezután végrehajthatják a rosszindulatú JavaScriptet, csak egy egyedi e-mailt küldve az áldozatnak.
A kutató felfedezte a hibát az e-mail írási nézetben, ahol a különféle csatolási lehetőségek felhívták a figyelmet az alapvető HTML-szűrés lehetséges hibájára. Pynnonen ezután létrehozott egy e-mailt különböző mellékletekkel, és elküldte az üzenetet egy külső postafiókba. Miután megvizsgálta az e-mailben található nyers HTML-t, néhány rosszindulatú attribútum felhívta a figyelmét.
„Ami az adat- * HTML-attribútumokat figyelmeztette. Először rájöttem, hogy a Yahoo szűrője által megengedett HTML-attribútumok felsorolására az előző évi erőfeszítéseim nem mindegyiket fogták meg. ”
Pynnonen szerint számos HTML-attribútum beágyazható, amelyek áthaladnak a Yahoo HTML-szűrőjén. Végül kóros esetet talált, miután összeállított e-mailt visszaélésszerű adat- * attribútumokkal.
A Yahoo az év elején tűz alatt volt, miután a jelentések szerint legalább 200 millió e-mail fiókot adtak el a sötét interneten.
Olvassa el még:
- Bejelentkezés a Windows 10 Mail szolgáltatásba Yahoo-fiókkal
- A Yahoo Mail alkalmazás a Windows 10-hez most szinkronizálja a kapcsolatokat a Microsoft People-kel
A Chrome sebezhetősége lehetővé teszi a hackerek számára, hogy felhasználói adatokat pdf fájlokon keresztül gyűjtsenek
A Chrome legutóbbi, nulla napos biztonsági rése, amely kihasználja a PDF-dokumentumokat, lehetővé teszi a támadók számára, hogy érzékeny adatokat gyűjtsenek, amikor a felhasználók a böngészőt használják a PDF-fájlok megtekintésére.
Az Outlook sebezhetősége lehetővé teszi a hackerek számára a jelszó-kivonatok ellopását
A Microsoft Outlook a világ egyik legnépszerűbb e-mail platformja. Személy szerint az Outlook e-mail címemre bízom a munka- és a személyes feladatok elvégzésekor. Sajnos az Outlook nem biztos, hogy olyan biztonságos, mint ahogy azt a felhasználók gondolnák. A Carnegie Mellon Szoftverfejlesztési Intézet által közzétett jelentés szerint az Outlook…
A Windows 10 jelszókezelő hibája lehetővé teszi a hackerek számára a jelszavak ellopását
Tavis Ormandy, a Google biztonsági kutatója a közelmúltban felfedezett egy biztonsági rést, amely a Windows 10 Jelszókezelőjében rejlik. Ez a hiba lehetővé teszi a számítógépes támadók számára a jelszavak ellopását. Ez a hiba a harmadik fél Keeper jelszókezelő alkalmazásával érkezik, amely az összes Windows 10 eszközre előre telepítve van. Úgy tűnik, hogy ez a hiba nagyon hasonlít a…
