Yahoo виправляє серйозну вразливість в Yahoo Mail

Yahoo

Дослідник безпеки відкриває новий недолік в Yahoo Mail

Помилка Yahoo Mail дозволила хакерам читати електронну пошту людей або створювати віруси, що заражають акаунти, на думку дослідника з безпеки, який позначив недолік компанії.

Yahoo заплатив Jouko Pynnonen з Klikki Oy, Фінляндія, $ 10,000 за приватне розкриття недоліку HackerOne помилка баунті.

Відповідно до Піннонен, недоліком була атака міжсайтових сценаріїв (XSS) і дозволила зловмиснику прочитати електронну пошту жертви або створити вірус, заражаючи облікові записи Yahoo Mail, серед іншого.

"Напад вимагав від жертви перегляду електронного листа, надісланого зловмисником. Ніякої подальшої взаємодії (наприклад, натискання на посилання або відкриття вкладеного файлу) не потрібно », - пояснив Піннонен, додавши, що недолік схожий на минулорічну помилку Yahoo Mail, яка також дозволила зловмисникові поставити під загрозу обліковий запис користувача.

Хоча Yahoo фільтрує HTML-повідомлення, щоб переконатися, що шкідливий код не переходить у веб-переглядач користувача, дослідник виявив, що фільтри не зафіксували всі атрибути шкідливих даних, і, надіславши спеціально створений електронний лист, хакер може викликати зловмисний JavaScript потрібно виконати негайно.

Проблему було виявлено, коли Pynnonen зрозумів, що підходить до річниці минулорічної помилки Yahoo Mail, яка дозволила вбудовувати зловмисний код JavaScript у спеціально відформатовані електронні листи.

"Я вирішив зробити ще один постріл", - сказав він. «Я вважав, що знайти ще одну помилку в базовій фільтрації HTML видається малоймовірною. Однак у вікні створення електронної пошти я помітив різні варіанти вкладень, на які я не приділяв великої уваги минулого року ».

Pynnonen написав повідомлення електронної пошти, що містить різні види вкладень і відправив його до зовнішньої поштової скриньки, щоб він міг перевірити "необроблений" HTML, який містить цей вид електронної пошти.

«Що мене привернуло увагу - це атрибути даних * * HTML. По-перше, я зрозумів, що мої минулорічні зусилля перерахувати HTML-атрибути, дозволені фільтром Yahoo, не впіймали всіх », - сказав він. «По-друге, оскільки атрибути даних * HTML використовуються для зберігання даних, що стосуються додатків, як правило, для використання в JavaScript, здавалося, тут є новий потенційний вектор атаки. Можна було б вставити ряд атрибутів HTML, які передаються через HTML-фільтр Yahoo та обробляються спеціально.

"Я спробував створити електронний лист із" образливими "атрибутами data- * та bingo !, досить швидко виявив патологічний випадок."

Вставивши символ ціноутворення у значення url-даних, він викликав зламаний HTML у кнопці спільного доступу.

- Поки URL-адреса вказувала на білий веб-сайт, наприклад, на YouTube, це не було перевірено чи закодовано. Значення було використано, як і для встановлення div innerHTML для створення кнопки. "

Про недолік було повідомлено Yahoo Security через HackerOne у листопаді 12 та виправлено 29 листопада. Це не єдиний раз, коли Yahoo Mail з'явився в новинах цього року, після хакера запропонував деталі облікових записів пошти 200 на пошті на темному веб-сайті в серпні.

джерело

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.