Gli esperti di sicurezza sicuramente rabbrividire ogni volta che una multinazionale si trova vulnerabile agli attacchi. Tali notizie non vengono mai da sottovalutare - comunicati vulnerabilità di solito lasciano milioni di utenti a rischio di sfruttamento.
Diamo uno sguardo a Yahoo! e il XSS (scripting cross-site) vulnerabilità che potrebbe hanno permesso cattivi attori compromettere account di posta elettronica degli utenti, semplicemente inviando una e-mail dannoso. Ripetiamo l'ultima parte - di sfruttare la vulnerabilità, l'unica azione sul conto dell'utente è solo apertura e la visualizzazione dei loro e-mail. Niente di più.
Che ha scoperto la vulnerabilità XSS in Yahoo?
Un ricercatore finlandese, Jouko Pynnönen, ha scoperto e segnalato il bug spaventoso. Questo è ciò che il ricercatore ha detto nel suo post originale, titolato Yahoo Mail XSS memorizzati:
Una vulnerabilità XSS memorizzati in Yahoo Mail è stato patchato all'inizio di questo mese. Il codice JavaScript maligno difetto ha permesso di essere incorporato in un messaggio e-mail appositamente formattato. Il codice dovrebbe essere valutato automaticamente quando il messaggio è stato visto. La JavaScript potrebbe essere utilizzato per ad es. compromettere l'account, modificarne le impostazioni, e in avanti o inviare e-mail senza il consenso dell'utente.
Tutte le versioni di Yahoo interessato, Mobile App parte
Inoltre, la vulnerabilità in questione ha interessato tutte le versioni di servizio di posta di Yahoo, l'applicazione mobile escluso. Uno dei motivi che dovrebbero agitare gli utenti è che Yahoo è il secondo più grande servizio di posta elettronica in tutto il mondo. Quasi 300 milioni di account di posta elettronica sono stati registrati a partire da febbraio 2014.
Per fortuna, Yahoo dice che il bug non è stata sfruttata ed è stata fissata a gennaio 6 prima di tutto di brutto è accaduto.
Jouko Pynnönen Inoltre ha fatto un video che illustra il potenziale exploit.
Sfortunatamente, questo non è il primo bug XSS trovato in Yahoo, e probabilmente non sarà l'ultimo. Per fortuna, Yahoo, tra gli altri, ha un programma di bounty bug che incoraggia i ricercatori indipendenti per segnalare i bug scoprono. Per questo particolare rapporto di vulnerabilità, il ricercatore finlandese è stata premiata $10,000.