Chyba zabezpečenia spoločnosti Yahoo umožňuje hackerom odpočúvanie e-mailov
Obsah:
Video: Here's How to Deal With Your Hacked Yahoo Account 2024
Yahoo opravil chybu vo svojej poštovej službe, ktorá mohla hackerom umožniť, aby odposlouchával e-maily používateľov takmer rok po odhalení a oprave tej istej chyby. Jouko Pynnonen z Fínska dostal od spoločnosti Yahoo 10 000 dolárov za odhalenie novej zraniteľnosti, ktorú spoločnosť Yahoo opravila minulý mesiac.
Táto chyba sa týkala skriptovacieho útoku na viacerých stránkach, ktorý poskytol útočníkovi povolenie na čítanie e-mailov používateľa alebo vytvorenie vírusu na infikovanie účtov Yahoo Mail. Pynnonen vysvetlil, že používateľ musí zobraziť e-mail od útočníka, aby chyba mohla fungovať.
Chyba bola podobná starej chybe Yahoo Mail, ktorú minulý rok objavil Pynnonen a ktorá mohla hackerom poskytnúť úplnú kontrolu nad účtom Yahoo Mail.
Nedostatok filtrov Yahoo
Pynnonen uviedol, že chyba v filtri Yahoo pre správy HTML je vinníkom najnovšej zraniteľnosti. Filter pracuje na blokovaní škodlivého kódu z prehliadača používateľa. Podľa výskumníka filter nedokázal zachytiť všetky atribúty škodlivých údajov. Hacker by potom mohol spustiť škodlivý JavaScript iba odoslaním obete vlastnému e-mailu.
Výskumník objavil chybu v zobrazení vytvárania e-mailov, kde rôzne možnosti príloh upozornili na možnú chybu v základnom filtrovaní HTML. Pynnonen potom vytvoril e-mail s rôznymi prílohami a poslal správu do externej schránky. Pri kontrole surového HTML obsiahnutého v e-maile ho upútali niektoré škodlivé atribúty.
„Čo ma zaujalo, boli atribúty dát- * HTML. Najprv som si uvedomil, že moje minulé úsilie o vyčíslenie atribútov HTML povolené filtrom Yahoo ich nezachytilo všetky. ““
Pynnonen si myslel, že bolo možné vložiť niekoľko atribútov HTML, ktoré by prešli filtrom Yahoo HTML. Nakoniec našiel patologický prípad po vytvorení e-mailu s urážlivými údajmi - * atribútmi.
Spoločnosť Yahoo bola spustená začiatkom tohto roka po správach, ktoré naznačujú, že na tmavom webe bolo predaných najmenej 200 miliónov poštových účtov.
Prečítajte si tiež:
- Ako sa prihlásiť do systému Windows 10 Mail pomocou účtu Yahoo
- Aplikácia Yahoo Mail pre Windows 10 teraz synchronizuje kontakty s Microsoft People
Chyba zabezpečenia prehliadača Chrome umožňuje hackerom zhromažďovať používateľské údaje prostredníctvom súborov PDF
Nedávna zraniteľnosť dokumentov PDF, ktorá sa týka nulového dňa v prehliadači Chrome, umožňuje útočníkom zhromažďovať citlivé údaje, keď používatelia používajú prehliadač na prezeranie súborov PDF.
Chyba správcu hesiel systému Windows 10 umožňuje hackerom ukradnúť heslá
Tavis Ormandy, výskumný pracovník v oblasti bezpečnosti spoločnosti Google, nedávno objavil zraniteľné miesto, ktoré sa skrýva v Správcovi hesiel systému Windows 10. Táto chyba umožňuje počítačovým útočníkom ukradnúť heslá. Táto chyba sa dodáva s aplikáciou Keeper Password Manager od tretích strán, ktorá je predinštalovaná na všetkých zariadeniach Windows 10. Zdá sa, že táto chyba je dosť podobná tej ...
Nová chyba zabezpečenia systému Windows 10 poskytuje hackerom systémové oprávnenia
V meste je nová zraniteľnosť zabezpečenia systému Windows 10, ktorá hackerom poskytuje úplné systémové privilégiá na postihnutých počítačoch.
