Yahoo не успяват с изправянето на уязвимост в имейл услугата си

1
44

Експерти по компютърна сигурност съобщават за това, че обновлението, което Yahoo издадоха по-рано тази седмица, засягащо сериозна уязвимост в имейл услугата предоставяна от компанията, не оправя проблема и по този начин потребителите на пощата са все още уязвими към евентуална атака експлоатираща тази уязвимост.

XSS-уязвимостта, която беше открита от Шахин Рамезани (подвизаващ се с псевдонима Abyssec) позволява на атакуващата страна да открадне бисквитките на Yahoo акаунта на жертвата, стига той да кликне върху изпратен зловреден линк в електронно писмо.

Yahoo излязоха с решение за въпросната уязвимост още в понеделник, но по-късно през седмицата специалисти от компанията занимаваща се с тестиране на уязвимостта на различни платформи и системи Offensive Security, а така също и самия Рамезани споделиха, че компанията не се е справила с разрешаването на проблема.

„С незначителна модификация на оригиналният код на Abysssec, с който доказа уязвимостта е все още възможно нейното експлоатиране. Това би позволило на човек да превземе акаунта на жертвата“, заявяват от Offensive Security в блога си.

Компанията публикува също и видеоклип (представен по-долу), в който показа нагледно осъществяване на атаката, като обаче не публикува подробности, които биха позволили на някой да се възползва от атаката. Специалистите споделиха също така, че XSS-филтрите осигоряват слаба защита срещу тази атака и предупредиха хората да са особено внимателни при кликането върху връзки в имейлите си, поне докато от Yahoo не изправят уязвимостта.

От Yahoo не дадоха коментар по разкритията.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
1 Коментар
стари
нови оценка
Отзиви
Всички коментари