Yahoo zakrpljuje ranjivost omogućujući hakerima da prisluškuju e-poštu
Sadržaj:
Video: Брене Браун: Сила уязвимости 2024
Yahoo je ispravio nedostatak u svojoj usluzi pošte koji je mogao dopustiti hakerima da prisluškuju e-poštu korisnika gotovo godinu dana nakon što je isti bug otkriven i zakrpljen. Jouko Pynnonen iz Finske dobio je 10.000 dolara od Yahooa zbog otkrivanja nove ranjivosti, koju je Yahoo popravio prošlog mjeseca.
Propust se odnosio na napad skriptiranja na više stranica koji je napadaču dao dozvolu da čita korisnikovu e-poštu ili stvori virus za zarazu Yahoo Mail računima. Pynnonen je objasnio da korisnik mora pregledavati e-poštu napadača kako bi pogreška mogla djelovati.
Bug je bio sličan starom kvaru Yahoo Mail-a koji je Pynnonen otkrio prošle godine i koji bi hakeri mogao dati potpunu kontrolu nad Yahoo Mail računom.
Nedostatak u Yahoo filtrima
Pynnonen je kao krivac za najnoviju ranjivost naveo nedostatak Yahoo-ovog filtra za HTML poruke. Filter djeluje tako da blokira zlonamjerni kod iz korisnikovog preglednika. Prema istraživaču, filter nije uspio uhvatiti sve atribute zlonamjernih podataka. Tada bi haker mogao izvršiti zlonamjerni JavaScript samo slanjem prilagođene e-pošte žrtvi.
Istraživač je otkrio nedostatak u prikazu slanja e-pošte, gdje su razne mogućnosti privitka skretale pažnju na potencijalne pogreške u osnovnom filtriranju HTML-a. Pynnonen je tada stvorio e-poštu s raznim prilozima i poruku poslao u vanjski poštanski sandučić. Uvidom u sirovi HTML koji se nalazi u e-poruci, neki su mu zlonamjerni atributi privukli pažnju.
„Ono što me je zaokupilo su podaci - * atributi HTML. Prvo, shvatila sam da prošlogodišnji napor da nabrojim HTML atribute dopuštene Yahooovim filtrom nije uhvatio sve."
Pynnonen je smatrao da je moguće ugraditi nekoliko HTML atributa koji će proći kroz Yahooov HTML filter. Na kraju je pronašao patološki slučaj nakon sastavljanja e-pošte s atributima podataka *.
Yahoo je početkom ove godine bio pod vatrom nakon izvješća koja pokazuju da je najmanje 200 milijuna računa pošte prodano na mračnom webu.
Pročitajte i:
- Kako se prijaviti u Windows 10 Mail pomoću Yahoo računa
- Yahoo Mail aplikacija za Windows 10 sada sinkronizira kontakte s Microsoft People-om
Ranjivost Chromea omogućuje hakerima prikupljanje korisničkih podataka putem pdf datoteka
Najnovija Chrome-ova nultočka ranjivost koja koristi PDF dokumente omogućuje napadačima prikupljanje osjetljivih podataka kada korisnici koriste preglednik za pregled PDF datoteka.
Ranjivost Outlooka omogućava hakerima da kradu hehere lozinki
Microsoft Outlook jedna je od najpopularnijih platformi za e-poštu na svijetu. Osobno se oslanjam na svoju Outlook e-adresu za radne kao i za osobne zadatke. Nažalost, Outlook možda nije tako siguran kako bismo mi korisnici željeli misliti. Prema izvješću koje je objavio Institut za inženjerstvo softvera Carnegie Mellon, Outlook ...
Program za praćenje lozinki Windows 10 omogućuje hakerima da kradu lozinke
Tavis Ormandy, sigurnosni istraživač na Googleu, nedavno je otkrio ranjivost koja vreba u programu Windows 10 Password Manager. Ova greška omogućava cyber napadačima da kradu lozinke. Do ovog nedostatka dolazi s trećom aplikacijom Keeper password manager koja je unaprijed instalirana na svim Windows 10 uređajima. Čini se da je ta mana prilično slična onoj ...
