中国骇客云最新0dayxss漏洞之雅虎漏洞,现在固定,允许黑客访问任何用户的电子邮件

雅虎已经固定的一个关键的跨站点脚本(XSS)漏洞可能被黑客利用来访问任何雅虎邮箱用户的私人邮件。

如果不打补丁,该漏洞可能让估计3亿雅虎邮件账户的风险。

该安全漏洞是建立由芬兰漏洞研究员Jouko Pynnö嫩,为安全公司klikki公司工作的人。pynnö嫩有揭露网络面向软件XSS漏洞的历史,在喜欢有负责任披露的安全漏洞WordPress和优步在过去的

这是修补缺陷,在十一月下旬Pynnö嫩的负责任的披露的细节,雅虎的安全团队,允许恶意的JavaScript被嵌入到一个特殊格式的电子邮件。

要发送一个冷下来的脊柱是一个攻击利用该漏洞不需要任何用户交互。所有的受害者都要有自己的帐户妥协仅仅是查看邮件,无需点击链接或打开附件。

Yahoo XSS vulnerability

恶意代码嵌入在电子邮件可能会被攻击者用来折中考虑,改变其设置,邮件转发到外部账户,甚至传播雅虎邮件的感染病毒。

他的努力pynnö嫩获得了10000美元的奖金的雅虎的错误赏金计划下。

这不是Pynnö嫩自己挣来的报告在雅虎的邮件系统中关键的安全漏洞,一个英俊的奖励第一时间。一年前,pynnö嫩告诉雅虎关于不同但类似的存储型XSS漏洞允许攻击者将恶意脚本里面boobytrapped电子邮件。

只是看消息足以触发恶意代码–意味者没有被诱骗点击任何链接或打开任何附件。恶意脚本可以用来妥协的帐户–改变设置,或转发或发送电子邮件,在用户不知情的情况下。

pynnö嫩有概念的电子邮件,将受害者的邮箱一个第三方网站证明雅虎的安全团队,和一个病毒,会感染的账户和依附以后每封电子邮件从雅虎邮件帐户发送。

不难想象,这样的攻击可能会蔓延得很快,会吸引网络罪犯利用。

幸运的是,有没有已知的漏洞在野外,和脆弱性修补2016年一月

这是雅虎当时修理缺陷也没有抵御最新的漏洞,工作的耻辱。一个强大的过滤器在雅虎的网关,恶意HTML狩猎,可以阻止这些类型的攻击在其轨道上死了。

谢天谢地,pynnö嫩相信负责任的披露他的发现细节的技术公司,而雅虎的这一最新情况作出适当的反应。

打赏