Yahoo виправляє вразливість, що дозволяє хакерам підслуховувати електронні листи
Зміст:
Відео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) 2024
Yahoo усунув недолік у своїй службі пошти, який міг дозволити хакерам підслуховувати електронні листи майже рік після того, як ця помилка була розкрита та виправлена. Джоко Піннонен з Фінляндії отримав від Yahoo 10 000 доларів за розкриття нової вразливості, яку Yahoo виправив минулого місяця.
Недолік стосувався міжсайтової скриптової атаки, яка дала зловмиснику дозвіл читати електронну пошту користувача або створювати вірус для зараження акаунтів Yahoo Mail. Піннонен пояснив, що користувач повинен переглядати електронний лист від зловмисника, щоб помилка працювала.
Помилка була схожа на старий недолік Yahoo Mail, який Pynnonen виявив минулого року, що може надати хакерам повний контроль над обліковим записом Yahoo Mail.
Недолік у фільтрах Yahoo
Pynnonen назвав недолік у фільтрі Yahoo для повідомлень HTML як винуватця останньої вразливості. Фільтр працює на блокування шкідливого коду з браузера користувача. За словами дослідника, фільтр не зміг захопити всі шкідливі атрибути даних. Тоді хакер може виконати зловмисний JavaScript, просто надсилаючи жертві користувальницький електронний лист.
Дослідник виявив недолік у вікні створення електронної пошти, де різні варіанти вкладень привертали його увагу до потенційної помилки в базовій фільтрації HTML. Потім Pynnonen створив електронний лист із різними вкладеннями та надіслав повідомлення на зовнішню поштову скриньку. Оглядаючи сирий HTML, який міститься в електронній пошті, деякі шкідливі атрибути привернули його увагу.
«Що мене привернуло увагу - це атрибути даних * * HTML. По-перше, я зрозумів, що мої минулорічні зусилля перерахувати HTML-атрибути, дозволені фільтром Yahoo, не впіймали всіх ».
Піннонен вважав, що можна вбудувати кілька атрибутів HTML, які пройдуть через HTML-фільтр Yahoo. Зрештою, він виявив патологічний випадок після складання електронного листа з образливими атрибутами data *.
Yahoo під обстрілом на початку цього року після звітів, які свідчать про те, що принаймні 200 мільйонів облікових записів пошти було продано в темній мережі.
Читайте також:
- Як увійти до пошти Windows 10 за допомогою облікового запису Yahoo
- Додаток Yahoo Mail для Windows 10 тепер синхронізує контакти з Microsoft People
Виправлення: я не можу надсилати електронні листи з Outlook на Windows 10
Якщо ваш обліковий запис електронної пошти Outlook не надсилатиме електронні листи, ось кілька варіантів вирішення цієї проблеми.
Неможливо синхронізувати електронні електронні листи з додатком пошти Windows 10
Багато користувачів повідомили, що не можуть синхронізувати електронну пошту AOL у додатку Windows 10 Mail. Це може бути великою проблемою, і сьогодні ми покажемо вам, як це виправити.
Кортана зараз сканує ваші електронні листи, щоб створити нагадування
Якщо ви нещодавно казали колезі надсилати важливий звіт електронною поштою, але пропустили додавання його до нагадування, Кортана тепер у вас спиною. Microsoft впроваджує нову функцію для особистого помічника, яка дозволяє нагадувати вам про зобов’язання, які ви могли взяти у своїх електронних листах. Пропонована функція нагадування дозволяє Cortana…
