Ang Yahoo ay nag-ayos ng isang kapintasan sa serbisyo ng Mail nito na maaaring pinahintulutan ang mga hacker na mag-eavesdrop sa mga email ng gumagamit halos isang taon matapos na ibunyag at mai-patch ang parehong bug. Si Jouko Pynnonen mula sa Finland ay tumanggap ng $ 10, 000 mula sa Yahoo para sa pagsisiwalat ng bagong kahinaan, na naayos ng Yahoo noong nakaraang buwan.

Ang pag-aalala ay nag-aalala ng isang pag-atake sa script ng cross-site na nagbigay ng pahintulot sa isang magsasalakay na basahin ang email ng isang gumagamit o lumikha ng isang virus upang mahawahan ang mga account sa Yahoo Mail. Ipinaliwanag ni Pynnonen na dapat tingnan ng isang gumagamit ang email mula sa isang umaatake para gumana ang bug.

Ang bug ay katulad sa isang lumang kapintasan ng Yahoo Mail na natuklasan ni Pynnonen noong nakaraang taon na maaaring magbigay ng kumpletong kontrol ng isang hacker ng isang Yahoo Mail account.

Pagdating sa mga filter ng Yahoo

Binanggit ni Pynnonen ang isang pagkukulang sa filter ng Yahoo para sa mga mensahe ng HTML bilang salarin para sa pinakabagong kahinaan. Gumagana ang filter upang hadlangan ang nakahahamak na code mula sa browser ng gumagamit. Ayon sa mananaliksik, ang filter ay nabigo upang makuha ang lahat ng mga nakakahamak na katangian ng data. Ang isang hacker ay maaaring magsagawa ng malisyosong JavaScript sa pamamagitan lamang ng pagpapadala ng isang pasadyang email sa biktima.

Natuklasan ng mananaliksik ang kapintasan sa view ng pag-compose ng email, kung saan tinawag ang iba't ibang mga pagpipilian sa pag-attach na kanyang pansin sa mga potensyal na bug sa pangunahing pag-filter ng HTML. Pagkatapos ay lumikha si Pynnonen ng isang email na may iba't ibang mga kalakip at ipinadala ang mensahe sa isang panlabas na mailbox. Sa pagsisiyasat ng hilaw na HTML na nakapaloob sa email, ang ilang mga nakakahamak na katangian ay nakakuha ng kanyang pansin.

"Ang nahuli sa aking mata ay ang data- * HTML na mga katangian. Una, napagtanto ko ang pagsisikap ng aking nakaraang taon upang mabuo ang mga katangian ng HTML na pinapayagan ng filter ng Yahoo ay hindi nahuli ang lahat ng mga ito."

Inisip ni Pynnonen na posible na mag-embed ng maraming mga HTML na katangian na makakapasa sa HTML filter ng Yahoo. Sa kalaunan ay nakatagpo siya ng isang kaso ng pathological matapos na isulat ang isang email na may pang-aabusong data- * na mga katangian.

Ang Yahoo ay naapektuhan nang mas maaga sa taong ito kasunod ng mga ulat na nagpapahiwatig ng hindi bababa sa 200 milyong mga mail account ay naibenta sa madilim na web.

Basahin din:

• Paano mag-sign in sa Windows 10 Mail gamit ang isang Yahoo account
• Ang Yahoo Mail app para sa Windows 10 ay nagse-sync na ngayon ng mga contact sa Microsoft People