Yahoo har rettet en fejl i sin Mail-tjeneste, der kunne have tilladt hackere at aflyse bruger-e-mails næsten et år efter, at den samme fejl blev afsløret og lappet. Jouko Pynnonen fra Finland modtog $ 10.000 fra Yahoo for at afsløre den nye sårbarhed, som Yahoo rettede i sidste måned.

Fejlen vedrørte et scriptangreb på tværs af websteder, der gav en angriber tilladelse til at læse en brugers e-mail eller oprette en virus til at inficere Yahoo Mail-konti. Pynnonen forklarede, at en bruger skal se e-mails fra en angriber for at fejlen skal fungere.

Fejlen lignede en gammel Yahoo Mail-fejl, som Pynnonen opdagede sidste år, og som kunne give hackere fuld kontrol over en Yahoo Mail-konto.

Mangler i Yahoo-filtre

Pynnonen citerede en mangel i Yahoos filter for HTML-beskeder som den skyldige for den seneste sårbarhed. Filtret fungerer til at blokere ondsindet kode fra brugerens browser. Ifølge forskeren mislykkede filteret alle de ondsindede dataattributter. En hacker kunne derefter udføre ondsindet JavaScript bare ved at sende en brugerdefineret e-mail til offeret.

Forskeren opdagede fejlen i visningen af ​​e-mail-komponering, hvor forskellige vedhæftelsesmuligheder henviste til potentiel fejl i grundlæggende HTML-filtrering. Pynnonen oprettede derefter en e-mail med forskellige vedhæftede filer og sendte beskeden til en ekstern postkasse. Ved inspektion af den rå HTML, der er indeholdt i e-mailen, fangede nogle ondsindede egenskaber hans opmærksomhed.

”Det, der fangede mit øje, var data- * HTML-attributterne. Først indså jeg, at mit sidste års indsats for at opregne HTML-attributter, der er tilladt af Yahoos filter, ikke fangede dem alle. ”

Pynnonen mente, at det var muligt at integrere flere HTML-attributter, der ville passere gennem Yahoos HTML-filter. Til sidst fandt han en patologisk sag efter at have komponeret en e-mail med misbrugte data- * attributter.

Yahoo har været under ild tidligere på året efter rapporter, der viser, at mindst 200 millioner mail-konti blev solgt på det mørke web.

Læs også:

• Sådan logger du på Windows 10 Mail med en Yahoo-konto
• Yahoo Mail-app til Windows 10 synkroniserer nu kontakter med Microsoft People