Yahoo vulnérabilité des correctifs permettant aux pirates d'espionner des emails
Table des matières:
Vidéo: Attaque sur Yahoo 2024
Yahoo a corrigé une faille dans son service de messagerie qui aurait pu permettre aux pirates d’écouter les courriels des utilisateurs presque un an après la divulgation et la correction du même bogue. Jouko Pynnonen, de Finlande, a reçu 10 000 USD de Yahoo pour avoir révélé la nouvelle vulnérabilité corrigée par Yahoo le mois dernier.
La faille concernait une attaque de script intersite donnant à un attaquant l'autorisation de lire le courrier électronique d'un utilisateur ou de créer un virus afin d'infecter les comptes Yahoo Mail. Pynnonen a expliqué qu'un utilisateur doit consulter le courrier électronique d'un attaquant pour que le bogue fonctionne.
Le bogue ressemblait à une ancienne faille Yahoo Mail découverte par Pynnonen l’année dernière et qui pourrait donner aux pirates le contrôle total d’un compte Yahoo Mail.
Lacunes dans les filtres Yahoo
Pynnonen a cité une lacune dans le filtre de Yahoo pour les messages HTML en tant que coupable de la dernière vulnérabilité. Le filtre bloque le code malveillant du navigateur de l'utilisateur. Selon le chercheur, le filtre n'a pas réussi à capturer tous les attributs de données malveillants. Un pirate informatique pourrait alors exécuter du code JavaScript malveillant en envoyant un courrier électronique personnalisé à la victime.
Le chercheur a découvert la faille dans la vue de composition du courrier électronique, où diverses options de pièce jointe ont attiré son attention sur un bogue potentiel du filtrage HTML de base. Pynnonen a ensuite créé un courrier électronique avec diverses pièces jointes et a envoyé le message à une boîte aux lettres externe. Lors de l'inspection du code HTML brut contenu dans l'e-mail, certains attributs malveillants ont attiré son attention.
«Ce qui a attiré mon attention, ce sont les attributs HTML data *. Tout d'abord, j'ai réalisé que les efforts que j'ai déployés l'année dernière pour énumérer les attributs HTML autorisés par le filtre de Yahoo ne les ont pas tous capturés. ”
Pynnonen pensait qu'il était possible d'incorporer plusieurs attributs HTML pouvant transiter par le filtre HTML de Yahoo. Il a finalement trouvé un cas pathologique après avoir composé un email avec des attributs data- * abusifs.
Yahoo est sous le feu des critiques plus tôt cette année après que des rapports indiquent qu'au moins 200 millions de comptes Mail ont été vendus sur le Web sombre.
Lire aussi:
- Comment se connecter à Windows 10 Mail avec un compte Yahoo
- L'application Yahoo Mail pour Windows 10 synchronise désormais les contacts avec Microsoft People
La vulnérabilité de Chrome permet aux pirates de collecter des données utilisateur via des fichiers pdf
Une vulnérabilité récente du jour zéro dans Chrome, exploitant des documents PDF, permet aux attaquants de collecter des données sensibles lorsque les utilisateurs utilisent le navigateur pour afficher les fichiers PDF.
Une vulnérabilité permettant à des attaquants de localiser des fichiers sur votre disque a été corrigée
Les mises à jour de correctifs de février de mardi ont corrigé une vulnérabilité de sécurité permettant aux pirates de voir quels fichiers vous avez stockés sur votre disque.
La vulnérabilité d'Outlook permet aux pirates de voler des mots de passe hachés
Microsoft Outlook est l'une des plates-formes de messagerie les plus populaires au monde. Je compte personnellement sur mon adresse électronique Outlook pour les tâches professionnelles et personnelles. Malheureusement, Outlook peut ne pas être aussi sécurisé que nous le souhaiterions les utilisateurs. Selon un rapport publié par le Carnegie Mellon Software Engineering Institute, Outlook…
