La vulnerabilitat de pegats de Yahoo permet als pirates informàtics escriure els missatges de correu electrònic
Taula de continguts:
Vídeo: Plus d'un milliard de comptes Yahoo piratés 2024
Yahoo ha solucionat un defecte en el seu servei de correu electrònic que podria haver permès als pirates informàtics escoltar els missatges de correu electrònic dels usuaris gairebé un any després que el mateix error es divulgués i s'espessés. Jouko Pynnonen, de Finlàndia, va rebre 10.000 dòlars de Yahoo per revelar la nova vulnerabilitat que va solucionar Yahoo el mes passat.
El defecte es referia a un atac de seqüenciat entre llocs que donava permís a l'atacant per llegir el correu electrònic d'un usuari o crear un virus per infectar els comptes de Yahoo Mail. Pynnonen va explicar que un usuari ha de veure el correu electrònic d’un atacant perquè l’error funcioni.
L’error era similar a un antic defecte de Yahoo Mail que Pynnonen va descobrir l’any passat que podria donar als pirates informàtics un control complet d’un compte de Yahoo Mail.
Falta en els filtres de Yahoo
Pynnonen va citar una falta en el filtre de Yahoo per als missatges HTML com a culpable de l'última vulnerabilitat. El filtre funciona per bloquejar el codi maliciós del navegador de l’usuari. Segons l'investigador, el filtre no va poder capturar tots els atributs de dades maliciosos. Un pirata informàtic podria executar JavaScript maliciós només enviant un correu electrònic personalitzat a la víctima.
L’investigador va descobrir el defecte en la vista de redacció de correu electrònic, on diverses opcions d’adjunt van cridar l’atenció sobre un error potencial en el filtratge HTML bàsic. Pynnonen va crear un correu electrònic amb diversos fitxers adjunts i va enviar el missatge a una bústia externa. En inspeccionar el codi HTML contingut al correu electrònic, li van cridar l’atenció alguns atributs maliciosos.
"El que m'ha cridat l'atenció eren els atributs HTML de dades- * HTML. Primer, em vaig adonar del meu esforç de l’any passat per enumerar els atributs HTML permesos pel filtre de Yahoo no els va agafar ”.
Pynnonen va pensar que era possible incrustar diversos atributs HTML que passessin pel filtre HTML de Yahoo. Finalment va trobar un cas patològic després de compondre un correu electrònic amb atributs de dades * * abusius.
Yahoo ha estat en actiu a principis d’aquest any després d’informes que indiquen que es van vendre almenys 200 milions de comptes de correu a la web fosca.
Llegiu també:
- Com iniciar sessió al Windows 10 Mail amb un compte de Yahoo
- L'aplicació Yahoo Mail per a Windows 10 sincronitza contactes amb Microsoft People
La vulnerabilitat de Chrome permet als pirates informàtics recopilar les dades dels usuaris mitjançant fitxers pdf
Una recent vulnerabilitat de Chrome de zero dies que explota documents PDF permet als atacants recollir dades sensibles quan els usuaris utilitzen el navegador per visualitzar fitxers PDF.
Puc restaurar els missatges de correu electrònic de correu electrònic antics des de les perspectives?
La transició de Hotmail a Outlook és irreversible i tots els articles emmagatzemats en el servidor es van esborrar després que Outlook substituís Hotmail com a client de correu electrònic directe.
La vulnerabilitat d'Outlook permet als pirates informàtics robar hashes de contrasenya
Microsoft Outlook és una de les plataformes de correu electrònic més populars del món. Personalment confio en la meva adreça de correu electrònic d'Outlook per a tasques relacionades amb la feina i personal. Malauradament, és possible que Outlook no sigui tan segur com ens agradaria pensar els usuaris. Segons un informe publicat per Carnegie Mellon Software Engineering Institute, Outlook ...
