Especialistas em segurança definitivamente tremer cada vez que uma multinacional se encontra vulnerável a ataques. Tais notícias são nunca ser subestimado - vulnerabilidades divulgadas geralmente deixam milhões de usuários propensos a exploração.
Vamos dar uma olhada no Yahoo! e o XSS (cross-site scripting) vulnerabilidade que poderia ter permitido que maus atores comprometessem as contas de email dos usuários apenas enviando um email malicioso. Vamos repetir a última parte - para explorar a vulnerabilidade, a única ação em nome do usuário é apenas abrir e visualizar o email. Nada mais.
Quem descobriu a vulnerabilidade do XSS no Yahoo?
Um pesquisador finlandês, Jouko Pynnönen, descobriu e relatou o bug assustador. Foi o que o pesquisador disse em seu post original, intitulado Yahoo Mail armazenado XSS:
Uma vulnerabilidade XSS armazenada no Yahoo Mail foi corrigida no início deste mês. A falha permitiu que código JavaScript malicioso fosse incorporado em uma mensagem de email especialmente formatada. O código seria avaliado automaticamente quando a mensagem fosse exibida. O JavaScript pode ser usado para, por exemplo,. comprometer a conta, alterar as suas definições, e encaminhar ou enviar e-mail sem o consentimento do usuário.
Todas as versões do Yahoo afetadas, Aplicativo móvel além
além disso, a vulnerabilidade em questão afetou todas as versões do serviço de email do Yahoo, o aplicativo para celular excluído. Um dos motivos que deve agitar os usuários é que o Yahoo é o segundo maior serviço de e-mail do mundo. Quase 300 milhões de contas de email foram registradas em fevereiro 2014.
Felizmente, O Yahoo diz que o bug não foi explorado e foi corrigido em janeiro 6 antes que algo ruim acontecesse.
Jouko Pynnönen também fez uma vídeo que ilustra a exploração potencial.
Infelizmente, este não é o primeiro bug XSS encontrado no Yahoo, e provavelmente não será o último. Felizmente, Yahoo, entre outros, tem um programa de recompensas bug que incentiva pesquisadores independentes a relatar bugs que descobrem. Para este relatório de vulnerabilidade específico, o pesquisador finlandês foi recompensado $10,000.