Kritičan propust u Yahoo Mailu omogućava hakerima da pristupe bilo kom nalogu
Vesti, 12.12.2016, 08:00 AM
Yahoo je sa 10000 dolara nagradio istraživača Jouko Pinonena koji je otkrio XSS (cross-site scripting) propust u Yahoo Mailu koji su hakeri mogli da iskoriste za pristup bilo kom nalogu. Yahoo je prošle nedelje ispravio ovaj propust.
Pinonen je otkrio da hakeri mogu da prevare Yahoovo HTML filtriranje i upadnu u nalog pomoću linkova koji kriju maliciozni JavaScript kod. Korisnici čak ne moraju da kliknu na linkove niti da otvaraju neke fajlove. Dovoljno je da otvore email hakera.
Pinonen je na svom blogu objasnio da propust omogućava napadaču da čita emailove žrtve ili da napravi virus koji će inficirati Yahoo Mail naloge. Da bi napad uspeo, potrebno je da žrtva pregleda email napadača. Druge interakcije žrtve, kao što je klik na link ili otvaranje priloga u emailu, nisu potrebne.
Yahoo je o ovom propustu obavešten 12. novembra. Kompanija je ispravila propust 29. novembra, tako da su svi korisnici sada bezbedni.
Pinonen je i prošle godine otkrio sličan XSS propust koji su hakeri takođe mogli iskoristiti za upad u naloge korisnika i čitanje emailova.
Yahoo Mail se već izvesno vreme ne smatra bezbednim email servisom, posebno posle otkrića da je kompanija krila da su hakeri 2014. kompromitovali najmanje 500 miliona naloga korisnika Yahoo Maila. To je otkriveno tek ove godine, kada je kompanija priznala da su hakeri pristupali informacijama korisnika kao što su imena, brojevi telefona, lozinke i email adrese.
Izdvojeno
LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja
Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje
Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika
Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje
Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom
Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje
Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta
Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje
Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja
Meta je predstavila novi model veštačke inteligencije za generisanje slika pod nazivom Muse Image, koji može da koristi javne objave i Reels sadrž... Dalje
Pratite nas
Nagrade






Pratite nas preko RSS-a





