Yahoo vá lỗ hổng cho phép tin tặc nghe lén email
Mục lục:
Video: Hướng dẫn khôi phục mật khẩu Mail Yahoo 2024
Yahoo đã sửa một lỗ hổng trong dịch vụ Mail có thể cho phép tin tặc nghe lén email của người dùng gần một năm sau khi lỗi tương tự được tiết lộ và vá. Jouko Pynnonen từ Phần Lan đã nhận được 10.000 đô la từ Yahoo vì tiết lộ lỗ hổng mới mà Yahoo đã sửa chữa vào tháng trước.
Lỗ hổng liên quan đến một cuộc tấn công kịch bản chéo trang web đã cho phép kẻ tấn công đọc quyền đọc email của người dùng hoặc tạo vi-rút để lây nhiễm tài khoản Yahoo Mail. Pynnonen giải thích rằng người dùng phải xem email từ kẻ tấn công để lỗi hoạt động.
Lỗi này tương tự như một lỗ hổng Yahoo Mail cũ mà Pynnonen phát hiện năm ngoái có thể giúp tin tặc kiểm soát hoàn toàn tài khoản Yahoo Mail.
Thiếu sót trong các bộ lọc của Yahoo
Pynnonen đã trích dẫn một thiếu sót trong bộ lọc của Yahoo cho các thông điệp HTML là thủ phạm gây ra lỗ hổng mới nhất. Bộ lọc hoạt động để chặn mã độc từ trình duyệt của người dùng. Theo nhà nghiên cứu, bộ lọc không thể nắm bắt tất cả các thuộc tính dữ liệu độc hại. Một hacker sau đó có thể thực thi JavaScript độc hại chỉ bằng cách gửi email tùy chỉnh cho nạn nhân.
Nhà nghiên cứu đã phát hiện ra lỗ hổng trong chế độ xem soạn email, trong đó các tùy chọn đính kèm khác nhau gọi sự chú ý của anh ta đến lỗi tiềm ẩn trong lọc HTML cơ bản. Pynnonen sau đó đã tạo một email với nhiều tệp đính kèm khác nhau và gửi tin nhắn đến hộp thư bên ngoài. Khi kiểm tra HTML thô có trong email, một số thuộc tính độc hại đã thu hút sự chú ý của anh ta.
Những gì làm tôi chú ý là các thuộc tính dữ liệu- * HTML. Đầu tiên, tôi nhận ra nỗ lực năm ngoái của mình để liệt kê các thuộc tính HTML được cho phép bởi bộ lọc của Yahoo đã không bắt được tất cả chúng.
Pynnonen nghĩ rằng có thể nhúng một số thuộc tính HTML sẽ đi qua bộ lọc HTML của Yahoo. Cuối cùng anh ta đã tìm thấy một trường hợp bệnh lý sau khi soạn một email với các thuộc tính dữ liệu- * lạm dụng.
Yahoo đã bị hỏa hoạn hồi đầu năm nay sau các báo cáo cho thấy ít nhất 200 triệu tài khoản Mail đã được bán trên web tối.
Đọc thêm:
- Cách đăng nhập vào Windows 10 Mail bằng tài khoản Yahoo
- Ứng dụng Yahoo Mail cho Windows 10 hiện đồng bộ hóa danh bạ với Microsoft People
Lỗ hổng Chrome cho phép tin tặc thu thập dữ liệu người dùng thông qua tệp pdf
Một lỗ hổng zero-day khai thác tài liệu PDF gần đây của Chrome cho phép kẻ tấn công thu thập dữ liệu nhạy cảm khi người dùng sử dụng trình duyệt để xem tệp PDF.
Lỗ hổng máy chủ trao đổi Ms cung cấp cho quản trị viên tin tặc đặc quyền
Một lỗ hổng mới đã được tìm thấy trong Microsoft Exchange Server 2013, 2016 và 2019. Lỗ hổng mới này được gọi là PrivExchange.
Lỗ hổng Outlook cho phép tin tặc đánh cắp băm mật khẩu
Microsoft Outlook là một trong những nền tảng email phổ biến nhất trên thế giới. Cá nhân tôi dựa vào địa chỉ email Outlook của mình cho các công việc liên quan đến công việc cũng như cá nhân. Thật không may, Outlook có thể không an toàn như người dùng chúng tôi muốn nghĩ. Theo báo cáo được xuất bản bởi Viện Kỹ thuật phần mềm Carnegie Mellon, Outlook chặn