Yahoo ได้แก้ไขข้อบกพร่องในการให้บริการ Mail ซึ่งอาจทำให้แฮกเกอร์สามารถดักฟังอีเมลผู้ใช้เกือบหนึ่งปีหลังจากที่มีการเปิดเผยและแก้ไขข้อผิดพลาดเดียวกัน Jouko Pynnonen จากฟินแลนด์ได้รับ $ 10, 000 จาก Yahoo สำหรับการเปิดเผยช่องโหว่ใหม่ซึ่ง Yahoo ได้แก้ไขเมื่อเดือนที่แล้ว

ข้อบกพร่องเกี่ยวข้องกับการโจมตีสคริปต์ข้ามไซต์ซึ่งทำให้ผู้โจมตีได้รับอนุญาตให้อ่านอีเมลของผู้ใช้หรือสร้างไวรัสเพื่อแพร่เชื้อบัญชี Yahoo Mail Pynnonen อธิบายว่าผู้ใช้ต้องดูอีเมลจากผู้โจมตีเพื่อให้บั๊กทำงานได้

ข้อผิดพลาดคล้ายกับข้อบกพร่อง Yahoo Mail เก่าที่ Pynnonen ค้นพบเมื่อปีที่แล้วซึ่งอาจทำให้แฮกเกอร์สามารถควบคุมบัญชี Yahoo Mail ได้อย่างสมบูรณ์

ข้อบกพร่องในตัวกรอง Yahoo

Pynnonen อ้างถึงข้อบกพร่องในตัวกรองของ Yahoo สำหรับข้อความ HTML ว่าเป็นผู้ร้ายสำหรับความเสี่ยงล่าสุด ตัวกรองทำงานเพื่อบล็อกรหัสที่เป็นอันตรายจากเบราว์เซอร์ของผู้ใช้ ผู้วิจัยระบุว่าตัวกรองไม่สามารถรวบรวมแอตทริบิวต์ข้อมูลที่เป็นอันตรายทั้งหมดได้ แฮกเกอร์สามารถรัน JavaScript ที่เป็นอันตรายเพียงแค่ส่งอีเมลที่กำหนดเองไปยังเหยื่อ

นักวิจัยค้นพบข้อบกพร่องในมุมมองการเขียนอีเมลซึ่งตัวเลือกสิ่งที่แนบต่าง ๆ เรียกว่าการใส่ใจต่อข้อผิดพลาดที่อาจเกิดขึ้นในการกรอง HTML ขั้นพื้นฐาน จากนั้น Pynnonen ก็สร้างอีเมลพร้อมไฟล์แนบต่าง ๆ และส่งข้อความไปยังกล่องจดหมายภายนอก เมื่อตรวจสอบ HTML แบบ ดิบที่ มีอยู่ในอีเมลแล้วแอตทริบิวต์ที่เป็นอันตรายบางอย่างจะดึงดูดความสนใจของเขา

“ สิ่งที่ดึงดูดสายตาของฉันคือคุณลักษณะ data- * HTML ครั้งแรกฉันตระหนักถึงความพยายามในปีที่แล้วของฉันในการระบุแอตทริบิวต์ HTML ที่อนุญาตโดยตัวกรองของ Yahoo ไม่ได้จับพวกเขาทั้งหมด”

Pynnonen คิดว่าเป็นไปได้ที่จะฝังแอตทริบิวต์ HTML หลายอย่างที่จะผ่านตัวกรอง HTML ของ Yahoo ในที่สุดเขาก็พบกรณีทางพยาธิวิทยาหลังจากเขียนอีเมลที่มีคุณสมบัติข้อมูลที่ไม่เหมาะสม

Yahoo ได้รับไฟเมื่อต้นปีนี้ตามรายงานที่ระบุว่ามีการขายบัญชี Mail อย่างน้อย 200 ล้านบัญชีในเว็บที่มืด

อ่านเพิ่มเติม:

• วิธีลงชื่อเข้าใช้ Windows 10 Mail ด้วยบัญชี Yahoo
• แอพ Yahoo Mail สำหรับ Windows 10 จะซิงค์ผู้ติดต่อกับ Microsoft People แล้ว