多国籍企業が攻撃に対して脆弱であることが判明するたびに、セキュリティの専門家は間違いなく震えます. このようなニュース記事は決して過小評価されるべきではありません。開示された脆弱性により、通常、何百万ものユーザーが悪用されやすくなります。.
Yahooを垣間見てみましょう! とXSS (クロスサイトスクリプティング) 悪意のある攻撃者が悪意のある電子メールを送信するだけでユーザーの電子メールアカウントを危険にさらす可能性のある脆弱性. 最後の部分を繰り返しましょう–脆弱性を悪用するために, ユーザーに代わって行う唯一のアクションは、メールを開いて表示することです。. これ以上何もない.
YahooでXSSの脆弱性を発見したのは誰か?
フィンランドの研究者, JoukoPynnönen, 恐ろしいバグを発見して報告しました. これは、研究者が彼の元の投稿で言ったことです, タイトル Yahoo Mail Stored XSS:
Yahooメールに保存されているXSSの脆弱性は今月初めにパッチが適用されました. この欠陥により、悪意のあるJavaScriptコードが特別にフォーマットされた電子メールメッセージに埋め込まれる可能性がありました. メッセージが表示されたときにコードが自動的に評価されます. JavaScriptを使用して例えば. アカウントを危険にさらす, 設定を変更する, ユーザーの同意なしにメールを転送または送信する.
影響を受けるYahooのすべてのバージョン, モバイルアプリはさておき
さらに, 問題の脆弱性は、Yahooメールサービスのすべてのバージョンに影響を及ぼしています, モバイルアプリは除外されました. ユーザーを興奮させるべき理由の1つは、Yahooが世界で2番目に大きいメールサービスであるということです。. ほとんど 300 2月の時点で100万のメールアカウントが登録されました 2014.
幸いなことに, Yahooによると、このバグは悪用されておらず、1月に修正されたという。 6 何か悪いことが起こる前に.
JoukoPynnönenも ビデオ これは潜在的なエクスプロイトを示しています.
不運にも, これはYahooで見つかった最初のXSSバグではありません, そしておそらくそれは最後のものではないでしょう. 幸運, Yahoo, とりわけ, があります バグバウンティプログラム 独立した研究者が発見したバグを報告することを奨励します. この特定の脆弱性レポートについて, フィンランドの研究者は報われました $10,000.