Yahoo исправляет уязвимость, позволяющую хакерам подслушивать электронные письма
Оглавление:
Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) 2024
Yahoo исправила ошибку в своем почтовом сервисе, которая могла позволить хакерам подслушивать электронные письма пользователей спустя почти год после того, как та же ошибка была обнаружена и исправлена. Йоуко Пиннонен из Финляндии получил от Yahoo 10 000 долларов за раскрытие новой уязвимости, которую Yahoo исправила в прошлом месяце.
Недостаток был связан с межсайтовой скриптинговой атакой, которая давала злоумышленнику право читать электронную почту пользователя или создавать вирус для заражения учетных записей Почты Yahoo. Пиннонен объяснил, что пользователь должен просмотреть электронную почту злоумышленника, чтобы ошибка сработала.
Ошибка была похожа на старый недостаток Yahoo Mail, обнаруженный Пиннонен в прошлом году, который мог дать хакерам полный контроль над учетной записью Yahoo Mail.
Недостаток в фильтрах Yahoo
Пиннонен сослался на недостаток фильтра Yahoo для HTML-сообщений как виновника последней уязвимости. Фильтр работает для блокировки вредоносного кода из браузера пользователя. По словам исследователя, фильтр не смог захватить все атрибуты вредоносных данных. Затем хакер может выполнить вредоносный JavaScript, просто отправив жертве заказное электронное письмо.
Исследователь обнаружил недостаток в представлении составления электронной почты, где различные варианты вложений привлекли его внимание к потенциальной ошибке в базовой HTML-фильтрации. Затем Пиннонен создал электронное письмо с различными вложениями и отправил сообщение на внешний почтовый ящик. После проверки исходного HTML-кода, содержащегося в электронном письме, некоторые вредоносные атрибуты привлекли его внимание.
«То, что бросилось в глаза, это атрибуты data- * HTML. Во-первых, я осознал, что мои прошлогодние усилия по перечислению атрибутов HTML, разрешенных фильтром Yahoo, не охватили их всех ».
Пиннонен подумал, что можно встроить несколько атрибутов HTML, которые будут проходить через HTML-фильтр Yahoo. В конце концов он обнаружил патологический случай после составления электронного письма с некорректными атрибутами data- *.
Ранее в этом году Yahoo подверглась критике после сообщений о том, что в темной сети было продано не менее 200 миллионов почтовых аккаунтов.
Читайте также:
- Как войти в Windows 10 Mail с учетной записью Yahoo
- Приложение Yahoo Mail для Windows 10 теперь синхронизирует контакты с Microsoft People
Исправлено: я не могу отправлять электронные письма из Outlook на Windows 10
Если ваша учетная запись электронной почты Outlook не будет отправлять электронные письма, вот несколько решений для решения этой проблемы.
Не удается синхронизировать электронные письма с почтовым приложением Windows 10
Многие пользователи сообщили, что они не могут синхронизировать электронную почту AOL в приложении Windows 10 Mail. Это может быть большой проблемой, и сегодня мы собираемся показать вам, как это исправить.
Кортана теперь сканирует ваши электронные письма, чтобы создать напоминания
Если вы недавно сказали коллеге отправить важный отчет по электронной почте, но пропустили добавление его в свое напоминание, у Кортаны теперь есть ваша спина. Microsoft представляет новую функцию для личного помощника, которая позволяет ему напоминать вам об обязательствах, которые вы, возможно, приняли в своих электронных письмах. Предложенная функция напоминаний позволяет Cortana…
