Yahoo har løst en feil i sin Mail-tjeneste som kunne ha tillatt hackere å avlyse brukerens e-post nesten ett år etter at den samme feilen ble avslørt og lappet. Jouko Pynnonen fra Finland mottok 10.000 dollar fra Yahoo for å avsløre den nye sårbarheten, som Yahoo fikset forrige måned.

Feilen gjaldt et script-angrep på tvers av steder som ga en angriper tillatelse til å lese brukerens e-post eller opprette et virus for å infisere Yahoo Mail-kontoer. Pynnonen forklarte at en bruker må se e-posten fra en angriper for at feilen skal fungere.

Feilen lignet på en gammel Yahoo Mail-feil som Pynnonen oppdaget i fjor som kunne gi hackere full kontroll over en Yahoo Mail-konto.

Mangler i Yahoo-filtre

Pynnonen siterte en mangel i Yahoos filter for HTML-meldinger som den skyldige for det siste sårbarheten. Filteret fungerer for å blokkere ondsinnet kode fra brukerens nettleser. Ifølge forskeren klarte ikke filteret å fange opp alle skadelige dataattributter. En hacker kan deretter utføre ondsinnet JavaScript bare ved å sende en tilpasset e-post til offeret.

Forskeren oppdaget feilen i visningen av e-postkomponering, der forskjellige vedleggsmuligheter henviste seg til potensiell feil i grunnleggende HTML-filtrering. Pynnonen opprettet deretter en e-post med forskjellige vedlegg og sendte meldingen til en ekstern postkasse. Ved å undersøke den rå HTML-en i e-posten, fikk noen ondsinnede attributter oppmerksomheten hans.

“Det som fanget mitt øye, var data- * HTML-attributtene. For det første innså jeg at fjorårets innsats for å oppregne HTML-attributter som tillates av Yahoos filter, ikke fanget alle sammen. ”

Pynnonen mente det var mulig å legge inn flere HTML-attributter som ville passere gjennom Yahoos HTML-filter. Etter hvert fant han en patologisk sak etter å ha komponert en e-post med fornærmende data- * attributter.

Yahoo har vært under ild tidligere i år etter rapporter som indikerer at minst 200 millioner postkontoer ble solgt på det mørke nettet.

Les også:

• Slik logger du deg på Windows 10 Mail med en Yahoo-konto
• Yahoo Mail-app for Windows 10 synkroniserer nå kontakter med Microsoft People