Security experts zeker huiveren elke keer dat een multinational is kwetsbaar gevonden voor aanvallen. Dergelijke nieuwsverhalen worden om nooit te onderschatten - gemaakte beveiligingslekken vertrekken meestal miljoenen gebruikers vatbaar voor uitbuiting.
Laten we eens een blik op Yahoo! en het XSS (cross-site scripting) kwetsbaarheid die slechte acteurs zouden in staat hebben gesteld om e-mail accounts van gebruikers in gevaar brengen door alleen het versturen van een kwaadaardige e-mail. Laten we het laatste deel te herhalen - het beveiligingslek te misbruiken, de enige actie namens de gebruiker is gewoon openen en bekijken van hun e-mail. Niets meer.
Wie ontdekte de XSS in Yahoo?
Een Finse onderzoeker, Jouko Pynnönen, heeft ontdekt en gemeld de enge bug. Dit is wat de onderzoeker heeft gezegd in zijn originele post, getiteld Yahoo Mail opgeslagen XSS:
Een opgeslagen XSS kwetsbaarheid in Yahoo Mail werd eerder deze maand gepatcht. De fout toegestaan kwaadaardige JavaScript-code om te worden ingebed in een speciaal opgemaakte e-mailbericht. De code zou automatisch geëvalueerd worden wanneer het bericht werd bekeken. De JavaScript kan worden gebruikt om bijvoorbeeld. compromis de rekening, de instellingen te wijzigen, en doorsturen of e-mail verzenden zonder toestemming van de gebruiker.
Alle versies van Yahoo Getroffen, Mobile App Afgezien
Bovendien, de kwetsbaarheid in kwestie heeft getroffen alle versies van Yahoo mail service, de mobiele app uitgesloten. Een van de redenen dat de gebruikers moeten ageren is dat Yahoo is de tweede grootste e-maildienst in de wereld. Bijna 300 miljoen e-mailaccounts werden geregistreerd in februari 2014.
Gelukkig, Yahoo zegt dat de bug niet is uitgebuit en werd vastgesteld in januari 6 voordat er iets ergs gebeurd.
Jouko Pynnönen heeft een maakte ook video- dat illustreert het benutten.
Helaas, dit is niet de eerste XSS bug gevonden in Yahoo, en waarschijnlijk zal niet de laatste zijn. Gelukkig, Yahoo, onder andere, heeft een bug bounty programma dat onafhankelijke onderzoekers aanmoedigt om bugs ontdekken ze rapporteren. Voor dit bijzondere kwetsbaarheid rapport, de Finse onderzoeker werd beloond $10,000.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: