„Yahoo“ pataiso pažeidžiamumą, leidžiantį įsilaužėliams įsiklausyti į el. Laiškus
Turinys:
Video: 7 Minutoz VS. Tauz | Duelo de Titãs 2024
„Yahoo“ savo pašto tarnyboje ištaisė trūkumą, kuris galėjo leisti įsilaužėliams paslėpti vartotojų el. Laiškus beveik metus po to paties klaidos atskleidimo ir pataisymo. Jouko Pynnonen iš Suomijos gavo 10 000 USD iš „Yahoo“ už naujo pažeidžiamumo, kurį „Yahoo“ nustatė praėjusį mėnesį, atskleidimą.
Trūkumas buvo susijęs su svetainių scenarijų išpuoliu, kuris užpuolikui leido skaityti vartotojo el. Laišką ar sukurti virusą, kad užkrėstų „Yahoo Mail“ paskyras. Pynnonenas paaiškino, kad vartotojas privalo peržiūrėti užpuoliko el. Laišką, kad klaida veiktų.
Ši klaida buvo panaši į seną „Yahoo Mail“ trūkumą, kurį praėjusiais metais atrado Pynnonenas ir kuris galėjo leisti įsilaužėliams visiškai valdyti „Yahoo Mail“ sąskaitą.
Trūkumas „Yahoo“ filtruose
Pynnonen nurodė, kad „Yahoo“ HTML pranešimų filtro trūkumas yra paskutinio pažeidžiamumo kaltininkas. Filtras veikia blokuojant kenksmingą kodą iš vartotojo naršyklės. Anot tyrėjo, filtrui nepavyko užfiksuoti visų kenkėjiškų duomenų atributų. Tada įsilaužėlis galėtų vykdyti kenksmingą „JavaScript“, tiesiog nusiųsdamas aukai pasirinktinį el. Laišką.
Tyrėjas atrado el. Pašto kompozicijos rodinio trūkumą, kai įvairios pridėjimo parinktys atkreipė jo dėmesį į galimą pagrindinio HTML filtravimo klaidą. Tada Pynnonen sukūrė el. Laišką su įvairiais priedais ir išsiuntė pranešimą į išorinę pašto dėžutę. Apžiūrėjus neapdorotą HTML el. Laiške, jis atkreipė dėmesį į kai kuriuos kenksmingus atributus.
„Man akį patraukė duomenų * HTML atributai. Pirma, aš supratau, kad mano praėjusių metų pastangos išvardyti HTML atributus, kuriuos leido „Yahoo“ filtras, nepatraukė jų visų. “
Pynnonenas manė, kad įmanoma įterpti kelis HTML atributus, kurie praeitų per „Yahoo“ HTML filtrą. Galiausiai jis rado patologinį atvejį, surašęs laišką su neteisingais duomenų * požymiais.
Šiais metais „Yahoo“ kilo gaisras po pranešimų, kurie rodo, kad tamsiajame internete buvo parduota mažiausiai 200 milijonų pašto paskyrų.
Taip pat skaitykite:
- Kaip prisijungti prie „Windows 10 Mail“ naudojant „Yahoo“ paskyrą
- „Windows 10“ skirta „Yahoo Mail“ programa dabar sinchronizuoja kontaktus su „Microsoft People“
„Flash“ grotuvo naujinimas kb4018483 pataiso rimtas saugos problemas, turinčias įtakos visoms „Windows“ versijoms
Neseniai „Microsoft“ išleido svarbų „Flash Player“ atnaujinimą į „Windows 8.1“ ir visas „Windows 10“ versijas. „Flash Player“ atnaujinimas KB4018483 užtaiso keletą rimtų saugos spragų, kurios gali leisti nuotolinį kodo vykdymą paveiktuose įrenginiuose. Kitaip tariant, jūs turėtumėte kuo greičiau atsisiųsti KB4018483. Neseniai užfiksuoti pažeidžiamumai gali leisti užpuolikams imtis ...
Štai ką pataiso kiti karo 4 pataisų atvejai
„Gears of War 4“ yra puikus žaidimas, tačiau jį veikia įvairios problemos, smarkiai ribojančios žaidimų patirtį daugeliui žaidėjų. Yra keletas būdų, kaip dažnai pašalinti klaidas, tačiau vis dar yra daug problemų, kurios dar turi būti išspręstos. Geros žinios yra tai, kad koalicija aktyviai dirba, kad…
5+ Geriausia antivirusinė programa „Yahoo“ laiškams apsaugoti jūsų el. Laiškus
Iš virusų ir kitų grėsmių, kylančių iš el. Laiškų, kyla didelis susirūpinimas, ypač verslui, nes jie praranda reputaciją ir gali pakenkti, jei jūsų darbuotojai netyčia išsiųs užkrėstus laiškus jūsų klientams ar net partneriams - kartais negrįžtamus. Todėl el. Pašto saugumo sprendimai turėtų atremti grėsmes, kuriomis pasinaudojama…
![„Windows 10“ nėra miego parinkties [ekspertų pataisos]](https://img.compisher.com/img/fix/221/sleep-option-is-missing-windows-10.jpg "„Windows 10“ nėra miego parinkties [ekspertų pataisos]")
![Nėra „Nba 2k17“ mano karjeros failo / jis sugadintas „Xbox one“ [paprastas vadovas]](https://img.compisher.com/img/fix/699/nba-2k17-my-career-file-missing-corrupted-xbox-one.jpg "Nėra „Nba 2k17“ mano karjeros failo / jis sugadintas „Xbox one“ [paprastas vadovas]")
