Yahoo popravlja ranljivost, ki hekerjem omogoča prisluškovanje e-poštnim sporočilom
Kazalo:
Video: Oracle VM 3.2.8 - 03 iLOM and Launch Console 2024
Yahoo je v svoji pošti odpravil napako, zaradi katere bi lahko hekerji prisluškovali e-poštnim sporočilom skoraj leto po razkritju iste napake. Jouko Pynnonen s Finske je od Yahooja prejel 10.000 dolarjev za razkritje nove ranljivosti, ki jo je Yahoo popravil prejšnji mesec.
Napaka se je nanašala na napad medkriptnih skript, ki je napadalcu omogočil branje uporabnikove e-pošte ali ustvarjanje virusa za okužbo računov Yahoo Mail. Pynnonen je pojasnil, da si mora uporabnik ogledati e-poštno sporočilo napadalca, da napaka deluje.
Napaka je bila podobna stari napaki Yahoo Mail, ki jo je lani odkril Pynnonen, ki lahko hekerjem omogoči popoln nadzor nad računom Yahoo Mail.
Pomanjkanje v filmih Yahoo
Pynnonen je krivca za Yahoojev filter za sporočila HTML navedel kot krivca za najnovejšo ranljivost. Filter deluje tako, da blokira zlonamerno kodo v uporabnikovem brskalniku. Po mnenju raziskovalca filter ni uspel zajeti vseh lastnosti zlonamernih podatkov. Heker lahko nato zlonamerni JavaScript izvrši le tako, da pošlje žrtvi po meri e-pošto.
Raziskovalec je odkril pomanjkljivost v pogledu sestavljanja e-poštnih sporočil, kjer so različne možnosti priloga opozarjale na potencialno napako v osnovnem filtriranju HTML. Pynnonen je nato ustvaril e-poštno sporočilo z različnimi prilogami in ga poslal v zunanji nabiralnik. Po pregledu surovega HTML-ja, ki ga vsebuje e-poštno sporočilo, so nekateri zlonamerni atributi pritegnili njegovo pozornost.
"Kar me je pritegnilo v oči so bili atributi podatkov- * HTML. Najprej sem ugotovil, da moje lansko prizadevanje za naštevanje atributov HTML, ki jih dovoljuje Yahoojev filter, ni zajelo vseh."
Pynnonen je menil, da je mogoče vdelati več atributov HTML, ki bi šli skozi Yahoojev filter HTML. Na koncu je našel patološki primer, ko je sestavil e-poštno sporočilo z atributi podatkov *.
Yahoo je bil v začetku letošnjega leta pod strelijo po poročilih, ki kažejo, da je bilo na temnem spletu prodanih najmanj 200 milijonov poštnih računov.
Preberite tudi:
- Kako se vpisati v sistem Windows 10 Mail z Yahoo računom
- Aplikacija Yahoo Mail za Windows 10 zdaj sinhronizira stike z Microsoft People
Ranljivost Chroma omogoča hekerjem zbiranje podatkov o uporabnikih prek pdf datotek
Nedavna Chromova ranljivost, ki izkorišča dokumente PDF, napadalcem omogoča zbiranje občutljivih podatkov, ko uporabniki brskalnik uporabljajo datoteke za ogled datotek PDF.
Ranljivost strežnika izmenjave daje hekerjem privilegije
Nova ranljivost je bila odkrita v Microsoft Exchange Server 2013, 2016 in 2019. Ta nova ranljivost se imenuje PrivExchange.
Ranljivost Outlooka omogoča hekerjem, da kradejo šifre gesla
Microsoft Outlook je ena najbolj priljubljenih e-poštnih platform na svetu. Osebno se zanašam na svoj Outlook e-poštni naslov za delovna in osebna opravila. Žal Outlook morda ni tako varen, kot bi si radi mislili uporabniki. Glede na poročilo, ki ga je objavil Carnegie Mellon inštitut za programsko tehniko, Outlook ...
