Yahoo, Posta hizmetinde, bilgisayar korsanlarının aynı e-posta bildirildikten ve düzeltildikten yaklaşık bir yıl sonra kullanıcı e-postalarına kulak misafiri olmasına izin verebilecek bir hatayı düzeltti. Finlandiya'dan Jouko Pynnonen, Yahoo’nun geçen ay düzeltdiği yeni güvenlik açığını açıklamak için Yahoo’dan 10.000 dolar aldı.

Bu kusur, saldırgana, bir kullanıcının e-postasını okuma ya da Yahoo Mail hesaplarına virüs bulaştırmak için bir virüs oluşturma izni veren saldırgana yönelik bir komut dosyası çalıştırma saldırısıyla ilgilidir. Pynnonen, bir hatanın çalışması için bir kullanıcının bir saldırganın e-postasını görüntülemesi gerektiğini açıkladı.

Hata, Pynnonen'in geçen yıl keşfettiği eski bir Yahoo Mail kusuruna benziyordu, hacker'lara Yahoo Mail hesabının tam kontrolünü verebiliyordu.

Yahoo filtrelerinde eksiklik

Pynnonen, Yahoo'nun HTML mesajlarına yönelik filtresinde en son güvenlik açığının suçlu olduğunu belirtti. Filtre, kullanıcının tarayıcısındaki zararlı kodları engellemeye çalışır. Araştırmacıya göre, filtre tüm zararlı veri niteliklerini yakalayamadı. Bir bilgisayar korsanı, yalnızca kurbana özel bir e-posta göndererek kötü amaçlı JavaScript yürütebilir.

Araştırmacı, çeşitli ek seçeneklerinin temel HTML filtrelemesindeki potansiyel hataya dikkatini çektiği e-posta oluşturma görünümündeki açığı keşfetti. Pynnonen daha sonra çeşitli ekleri olan bir e-posta oluşturdu ve mesajı harici bir posta kutusuna gönderdi. E-postada bulunan ham HTML'yi inceledikten sonra bazı kötü amaçlı özellikler dikkatini çekti.

“Gözümü yakalayan şey data- * HTML özellikleriydi. İlk olarak, geçen yılki Yahoo'nun filtresinin izin verdiği HTML niteliklerini numaralandırma çabalarının hepsini yakalayamadığını fark ettim. ”

Pynnonen, Yahoo'nun HTML filtresinden geçebilecek birkaç HTML özelliği yerleştirmenin mümkün olduğunu düşünüyordu. Sonunda küfürlü data- * özniteliklerine sahip bir e-posta yazdıktan sonra patolojik bir vaka buldu.

Yahoo, bu yılın başlarında, karanlık web'de en az 200 milyon Mail hesabının satıldığını gösteren raporların ardından ateş altında.

Ayrıca oku:

• Yahoo hesabıyla Windows 10 Mail'de nasıl oturum açabilirim?
• Windows 10 için Yahoo Mail uygulaması artık kişileri Microsoft People ile senkronize ediyor