ヤフーは、同じバグが公開され、パッチが適用されてからほぼ1年後に、ハッカーがユーザーの電子メールを盗聴できるメールサービスの欠陥を修正しました。 フィンランドのJouko Pynnonenは、先月Yahooが修正した新しい脆弱性の開示に対してYahooから10, 000ドルを受け取りました。

この欠陥は、攻撃者にユーザーの電子メールの読み取りまたはYahoo Mailアカウントに感染するウイルスの作成を許可するクロスサイトスクリプティング攻撃に関するものでした。 Pynnonenは、バグが機能するためには、ユーザーが攻撃者からのメールを表示する必要があると説明しました。

このバグは、Pynnonenが昨年ハッカーにYahoo Mailアカウントの完全な制御を与える可能性があることを発見した古いYahoo Mailの欠陥に似ていました。

Yahooフィルターの欠点

Pynnonenは、最新の脆弱性の原因として、YahooのHTMLメッセージ用フィルターの欠点を挙げました。 このフィルターは、ユーザーのブラウザーからの悪意のあるコードをブロックするように機能します。 研究者によると、フィルターはすべての悪意のあるデータ属性をキャプチャできませんでした。 ハッカーは、被害者にカスタムメールを送信するだけで、悪意のあるJavaScriptを実行できます。

研究者は、電子メール作成ビューに欠陥を発見しました。ここで、さまざまな添付オプションが、基本的なHTMLフィルタリングの潜在的なバグに注意を喚起しました。 その後、Pynnonenはさまざまな添付ファイル付きのメールを作成し、メッセージを外部メールボックスに送信しました。 電子メールに含まれる 生の HTMLを検査する と 、いくつかの悪意のある属性が彼の注意を引きました。

「私の目を引いたのは、data- * HTML属性です。 最初に、Yahooのフィルターで許可されているHTML属性を列挙する昨年の努力がすべてをキャッチしなかったことに気付きました。」

Pynnonenは、YahooのHTMLフィルターを通過するいくつかのHTML属性を埋め込むことが可能であると考えました。 彼は最終的に、虐待的なdata- *属性を持つ電子メールを作成した後、病理学的なケースを見つけました。

ヤフーは、少なくとも2億のメールアカウントがダークウェブで販売されたことを示すレポートに続いて、今年初めに攻撃を受けました。

また読む：

• YahooアカウントでWindows 10 Mailにサインインする方法
• Windows 10用のYahooメールアプリは、連絡先をMicrosoft Peopleと同期するようになりました