야후는 메일 서비스의 결함을 수정하여 해커가 동일한 버그가 공개되고 패치 된 후 거의 1 년 동안 사용자 이메일을 도청 할 수있게했다. 핀란드의 주코 피노 넨 (Juko Pynnonen)은 야후가 지난 달에 고쳐 준 새로운 취약점을 공개 한 데 대해 야후로부터 10, 000 달러를 받았다.

이 결함은 침입자가 사용자의 전자 메일을 읽거나 Yahoo Mail 계정을 감염시키는 바이러스를 생성 할 수있는 권한을 부여한 사이트 간 스크립팅 공격과 관련이 있습니다. Pynnonen은 버그가 작동하려면 사용자가 공격자로부터 이메일을보아야한다고 설명했습니다.

이 버그는 해커가 Yahoo Mail 계정을 완전히 제어 할 수있는 Pynnonen이 작년에 발견 한 오래된 Yahoo Mail 결함과 유사했습니다.

Yahoo 필터의 단점

피노 넨은 야후의 HTML 메시지 필터의 단점이 최신 취약점의 원인으로 지적했다. 이 필터는 사용자 브라우저에서 악성 코드를 차단합니다. 연구원에 따르면이 필터는 모든 악성 데이터 속성을 캡처하지 못했습니다. 그런 다음 해커는 피해자에게 사용자 지정 전자 메일을 보내면 악성 JavaScript를 실행할 수 있습니다.

연구원은 전자 메일 작성보기에서 결함을 발견했으며, 여기에서 다양한 첨부 옵션이 기본 HTML 필터링의 잠재적 버그에주의를 기울였습니다. Pynnonen은 다양한 첨부 파일이 포함 된 이메일을 작성하여 메시지를 외부 메일 함으로 보냈습니다. 이메일에 포함 된 원시 HTML을 검사 할 때 일부 악의적 인 속성이 그의 관심을 끌었습니다.

“내 눈에 띄는 것은 data- * HTML 속성이었습니다. 첫째, 야후 필터가 허용하는 HTML 속성을 열거하려는 작년의 노력이 모든 속성을 포착하지는 않는다는 것을 깨달았습니다.”

Pynnonen은 Yahoo의 HTML 필터를 통과하는 몇 가지 HTML 속성을 포함 할 수 있다고 생각했습니다. 그는 학대적인 data- * 속성을 가진 이메일을 작성한 후 병리학 적 사례를 발견했습니다.

야후는 올해 초 다크 웹에서 최소 2 억 개의 메일 계정이 판매되었다는 보고서에 따라 해고됐다.

또한 읽어보십시오:

• Yahoo 계정으로 Windows 10 Mail에 로그인하는 방법
• Windows 10 용 Yahoo Mail 앱은 이제 연락처를 Microsoft People과 동기화합니다.