Yahoo corrige vulnerabilidade, permitindo que hackers espionem e-mails
Índice:
Vídeo: Falha GRAVE da UOL permite invasão por um simples envio de E-MAIL ? 2025
O Yahoo corrigiu uma falha em seu serviço de email que poderia permitir que hackers espionassem emails de usuários quase um ano após o mesmo bug ter sido divulgado e corrigido. Jouko Pynnonen, da Finlândia, recebeu US $ 10.000 do Yahoo por divulgar a nova vulnerabilidade, que o Yahoo corrigiu no mês passado.
A falha dizia respeito a um ataque de script entre sites que permitia ao invasor ler o email de um usuário ou criar um vírus para infectar as contas do Yahoo Mail. Pynnonen explicou que um usuário deve visualizar o email de um invasor para que o bug funcione.
O bug foi semelhante a uma falha antiga do Yahoo Mail que Pynnonen descobriu no ano passado que poderia dar aos hackers o controle completo de uma conta do Yahoo Mail.
Deficiência nos filtros do Yahoo
Pynnonen citou uma falha no filtro do Yahoo para mensagens HTML como o culpado pela mais recente vulnerabilidade. O filtro funciona para bloquear código malicioso do navegador do usuário. Segundo o pesquisador, o filtro falhou ao capturar todos os atributos de dados maliciosos. Um hacker pode então executar JavaScript malicioso apenas enviando um email personalizado para a vítima.
O pesquisador descobriu a falha na exibição de composição de e-mails, onde várias opções de anexos chamaram sua atenção para possíveis erros na filtragem HTML básica. Pynnonen criou um email com vários anexos e enviou a mensagem para uma caixa de correio externa. Ao inspecionar o HTML bruto contido no email, alguns atributos maliciosos chamaram sua atenção.
“O que me chamou a atenção foram os dados- * atributos HTML. Primeiro, percebi que o esforço do meu último ano para enumerar atributos HTML permitidos pelo filtro do Yahoo não capturou todos eles. ”
Pynnonen achou que era possível incorporar vários atributos HTML que passariam pelo filtro HTML do Yahoo. Ele finalmente encontrou um caso patológico depois de escrever um email com dados abusivos *.
O Yahoo está sendo criticado no início deste ano, após relatórios que indicam que pelo menos 200 milhões de contas do Mail foram vendidas na dark web.
Leia também:
- Como entrar no Windows 10 Mail com uma conta do Yahoo
- O aplicativo Yahoo Mail para Windows 10 agora sincroniza contatos com o Microsoft People
Vulnerabilidade do Chrome permite que hackers coletem dados do usuário por meio de arquivos PDF
Uma recente vulnerabilidade do Chrome de dia zero que explora documentos PDF permite que os invasores colhem dados confidenciais quando os usuários usam o navegador para visualizar arquivos PDF.
O Chrome permite que milhares de rastreadores o espionem. existe uma alternativa segura?
A privacidade na internet é um tanto relativa. O Washington Post testou o Chrome e descobriu que o navegador suporta milhares de rastreadores.
Vulnerabilidade do Outlook permite que hackers roubem hashes de senha
O Microsoft Outlook é uma das plataformas de email mais populares do mundo. Pessoalmente, confio no meu endereço de e-mail do Outlook para tarefas pessoais e relacionadas ao trabalho. Infelizmente, o Outlook pode não ser tão seguro quanto os usuários gostariam de pensar. De acordo com um relatório publicado pelo Instituto de Engenharia de Software Carnegie Mellon, Outlook…
