יאהו תיקן פגם בשירות הדואר שלה שיכול היה לאפשר להאקרים לצותת להודעות דוא"ל למשתמשים כמעט שנה לאחר שחשף ותיקון של אותו באג. ג'וקו פיננונן מפינלנד קיבל 10, 000 דולר מ- Yahoo בגין חשיפת הפגיעות החדשה, שתוקנה בחודש שעבר.

הליקוי נגע למתקפת סקריפטים חוצה אתרים שנתנו לתוקף את הרשות לקרוא את הדוא"ל של המשתמש או ליצור וירוס כדי להדביק חשבונות Yahoo Mail. Pynnonen הסביר כי על המשתמש להציג את הדוא"ל של תוקף כדי שהבאג יעבוד.

הבאג היה דומה לפגם ישן של Yahoo Mail שגילה פיננונן בשנה שעברה שיכול לתת להאקרים שליטה מלאה בחשבון של Yahoo Mail.

חסרונות במסנני יאהו

Pynnonen ציין חסרונות במסנן של יאהו להודעות HTML כאשמת הפגיעות האחרונה. המסנן פועל לחסימת קוד זדוני מדפדפן המשתמש. לדברי החוקרת, המסנן לא הצליח לתפוס את כל תכונות הנתונים הזדוניות. אז האקר יכול לבצע JavaScript זדוני רק על ידי שליחת דוא"ל מותאם אישית לקורבן.

החוקר גילה את הפגם בתצוגת ההלחנה של הדוא"ל, שם אפשרויות קבצים מצורפות כינו את תשומת ליבו לבאג פוטנציאלי בסינון HTML בסיסי. לאחר מכן יצר פיננונן דוא"ל עם קבצים מצורפים שונים ושלח את ההודעה לתיבת דואר חיצונית. לאחר בדיקת ה- HTML הגולמי הכלול בהודעת הדוא"ל, כמה תכונות זדוניות משכו את תשומת ליבו.

"מה שתפס את עיניי היו תכונות HTML * של נתונים. ראשית, הבנתי שהמאמץ שלי בשנה שעברה למנות תכונות HTML שמותר על ידי המסנן של יאהו לא תפס את כולם."

פיננונן חשב שאפשר להטמיע מספר תכונות HTML שיעברו דרך מסנן ה- HTML של יאהו. בסופו של דבר הוא מצא מקרה פתולוגי לאחר שחיבר דוא"ל עם מאפייני נתונים פוגעניים.

יאהו הייתה תחת אש מוקדם יותר השנה בעקבות דיווחים המצביעים על לפחות 200 מיליון חשבונות דואר שנמכרו ברשת החשוכה.

קרא גם:

• כיצד להיכנס ל- Windows 10 Mail באמצעות חשבון יאהו
• אפליקציית Yahoo Mail ל- Windows 10 מסנכרנת כעת אנשי קשר עם Microsoft People