芬兰安全专家 JoukoPynnönen 发现雅虎邮件服务存在漏洞,允许黑客读取受害者的电子邮件消息。
研究员称这是一个基于 DOM 的持久型 XSS (跨站点脚本)漏洞,攻击者可以利用漏洞向任何用户发送被嵌入恶意代码的电子邮件。
这种攻击只需要用户查看电子邮件,当用户打开邮件后,恶意代码会就会自动执行,无需点击链接或打开附件等交互行为,让人防不胜防。
恶意代码会将受害人的收件箱信息转发到外部网站,此外,攻击者也会在邮件签名处隐藏恶意代码并借助受害人发送邮件继续传播。
问题的根源在于,雅虎未能正确过滤嵌入在 HTML 邮件中的恶意代码。他注意到并非所有的 HTML 属性都能正确验证,其中一些使用 JavaScript 存储应用程序特定的数据。攻击者利用 AJAX 能读取到用户信箱中的内容并发送至攻击者服务器。
上周雅虎修复了邮箱安全漏洞,并提供给研究员 JoukoPynnönen 10000 美元漏洞赏金。
稿源:本站翻译整理,封面来源:百度搜索
from hackernews.cc.thanks for it.