Yahoo opraví závažnou bezpečnostní chybu v Yahoo Mail

  • 2 min číst
  • Prosince 18, 2016

Yahoo

Bezpečnostní výzkumník odhalil novou chybu v Yahoo Mail

Chybová zpráva Yahoo Mail umožnila hackerům číst e-maily nebo vytvořit virus infikující účty, podle bezpečnostního výzkumníka, který označil chybu společnosti.

Yahoo zaplatil Jouka Pynnonena ze společnosti Klikki Oy, Finsko, $ 10,000 za soukromé zveřejnění chyby HackerOne bug bounty.

Podle Pynnonen, chyba byla útokem mezi servery (XSS) a dovolil útočníkovi, aby si přečetl e-mailovou adresu oběti nebo vytvořil virus, který infikuje účty Yahoo Mail, mimo jiné.

"Útok vyžadoval, aby oběť zobrazila e-mail odeslaný útočníkem. Žádná další interakce (jako například kliknutí na odkaz nebo otevření přílohy) bylo vyžadováno, "vysvětlil Pynnonen a dodal, že chyba byla podobná minuloroční chybě Yahoo Mail, která podobně dovolila útočníkovi kompromitovat účet uživatele.

Zatímco Yahoo filtruje HTML zprávy, aby se ujistil, že škodlivý kód nedopadá za prohlížeč uživatele, výzkumník zjistil, že filmy nechytili všechny atributy škodlivých dat a zasláním speciálně vytvořeného e-mailu mohl hacker spustit škodlivý JavaScript bude proveden okamžitě.

Tato chyba byla objevena, když si Pynnonen uvědomil, že se blíží k výročí výroční chyby Yahoo Mail, která umožnila vložení škodlivého kódu JavaScript do speciálně formátovaných e-mailů.

"Rozhodl jsem se udělat další záběr," řekl. "Cítil jsem, že nalezení jiné chyby v základní filtrování HTML je nepravděpodobné. V e-mailovém příspěvku jsem si však všiml různých příloh, na které jsem minulý rok příliš nevěnoval pozornost. "

Pynnonen složil e-mail s různými typy příloh a odeslal ho do externí poštovní schránky, aby mohl zkontrolovat "raw" HTML, který tento e-mail obsahuje.

"Co mě zaujalo, byly atributy HTML *. Nejprve jsem si uvědomil, že můj minulý rok vypsat atributy HTML, které umožnil filtr společnosti Yahoo, je nezachytila, "uvedl. "Zadruhé, jelikož data-atributy HTML se používají k ukládání dat specifických pro aplikaci, obvykle používaných v jazyce JavaScript, zdálo se, že zde existuje nový potenciální vektor útoku. Bylo by možné vložit několik atributů HTML, které jsou předávány prostřednictvím filtru HTML společnosti Yahoo a upravovány speciálně.

"Snažil jsem se vytvořit e-mail s" abusivními "atributy dat a * a bingo !, našel patologický případ velmi rychle."

Zadáním symbolu citátu do hodnoty datové adresy URL způsobil v tlačítku sdílení poškozený kód HTML.

"Pokud URL odkazuje na webové stránky, jako je YouTube, které jsou uvedeny na seznamu bílé, nebyla další kontrola nebo kódování. Hodnota byla použita jako pro nastavení div innerHTML pro vytvoření tlačítka. "

Tato chyba byla oznámena společnosti Yahoo Security prostřednictvím serveru HackerOne v listopadu 12 a stanovena na 29 listopad. Není to jediný okamžik, kdy Yahoo Mail byl v letošním roce po hackerovi nabídl podrobnosti účtu 200 milionů e-mailů na tmavém webu v srpnu.

Zdroj