Yahoo on korjannut postipalvelussaan virheen, joka olisi voinut antaa hakkereiden salata käyttäjien sähköpostiviestejä melkein vuoden kuluttua saman virheen paljastamisesta ja korjaamisesta. Suomalainen Jouko Pynnonen sai 10 000 dollaria Yahoo: lta uuden haavoittuvuuden paljastamisesta, jonka Yahoo korjasi viime kuussa.

Vika koski sivustojenvälistä komentosarjojen hyökkäystä, joka antoi hyökkääjälle luvan lukea käyttäjän sähköpostia tai luoda viruksen tartuttaaksesi Yahoo Mail -tilejä. Pynnonen selitti, että käyttäjän on tarkasteltava hyökkääjän sähköpostia, jotta vika toimisi.

Virhe oli samanlainen kuin vanha Yahoo Mail -vika, jonka Pynnonen löysi viime vuonna ja joka saattoi antaa hakkereille täydellisen hallinnan Yahoo Mail -tilillä.

Puute Yahoo-suodattimissa

Pynnonen mainitsi viimeisimmän haavoittuvuuden syylliseksi puutteen Yahoon HTML-viestien suodattimessa. Suodatin estää haitallista koodia käyttäjän selaimesta. Tutkijan mukaan suodatin ei onnistunut kaappaamaan kaikkia haitallisia tietoominaisuuksia. Hakkeri voi sitten suorittaa haitallisen JavaScriptin lähettämällä mukautetun sähköpostin uhriin.

Tutkija löysi virheen sähköpostin kirjoitusnäkymässä, jossa erilaiset liitetiedostot kiinnittivät huomiota mahdollisiin virheisiin HTML-perussuodatuksessa. Pynnonen loi sitten sähköpostin eri liitteineen ja lähetti viestin ulkoiseen postilaatikkoon. Tarkastettuaan sähköpostin raaka HTML-koodia, jotkut haitalliset ominaisuudet kiinnittivät hänen huomionsa.

”Se, joka huomasin, olivat data- * HTML-määritteet. Ensinnäkin tajusin, että viime vuoden ponnisteluni Yahoo-suodattimen sallimien HTML-ominaisuuksien luettelemiseksi ei saanut niitä kaikkia kiinni. ”

Pynnonen piti mahdollista upottaa useita HTML-määritteitä, jotka läpäisivät Yahoon HTML-suodattimen läpi. Lopulta hän löysi patologisen tapauksen kirjoitettuaan väärinkäyttäviä tietoja sisältäviä sähköpostiviestejä *.

Yahoo on ollut tulessa aiemmin tänä vuonna seurauksena ilmoituksista, joiden mukaan vähintään 200 miljoonaa postitiliä on myyty pimeässä verkossa.

Lue myös:

• Kuinka kirjautua sisään Windows 10 Mailiin Yahoo-tilillä
• Windows 10: n Yahoo Mail -sovellus synkronoi nyt yhteystiedot Microsoft People -sovelluksen kanssa