Некорректная работа Рамблер-почты позволяет собирать спам-базу

...

28 июня 2009 года на одном из специализированных форумов автором под ником Exitusletaris была опубликована информация о том, что на rambler.ru при регистрации новой почты или при клике по ссылке восстановления пароля становится возможным перехватывать чужие сессии, причем при обновлении страницы сессия меняется. Причиной «бага» стал неправильно работающий скрипт reminder.cgi, что позволяет собрать спам-базу.

На следующий день другой автор под ником Panaslonik представил методику, использующую данную уязвимость. За два с половиной часа было получено 13686 файлов-ответов, то есть ответы шли со скоростью 1,55 ответа в секунду. В результате выборочной ручной обработки было выявлено, что «Имя Фамилия» всегда соответствовали «e-mail», даже при повторениях, некоторым именам случайным образом иногда давался номер ICQ, причем каждый раз другой. И иногда их было даже два абсолютно разных на одной странице. Затем с помощью парсера были извлечены «Имя Фамилия» и «e-mail», посчитаны количество уникальных имен и выдан результат в файл с разделителями, который пригоден для дальнейшего анализа в Excel. Таким образом, были получены 2417 уникальных e-mail адресов. Автор сделал вывод, что таким образом злоумышленники могли получать 0,27 адреса в секунду или 16,2 адреса в минуту.

Несмотря на то, что данный способ кажется немного медленным по сравнению с другими способами получения уникальных e-mail-адресов. При том что формирование базы для спама с помощью парсеров, явление весьма распространенное. Однако в данном случает на практике была продемонстрирована одна из серьезных уязвимостей, которые, видимо, могут иметься и у других поисковиков.

В компании «Рамблер» сообщили, что ошибка уже исправлена. «Мы постоянно обновляем и улучшаем почту, в том числе и с точки зрения ее безопасности, - прокомментировал руководитель коммуникационных сервисов «Рамблера» Павел Рогожин. - После одного из таких обновлений возникла внештатная ситуация. Ошибка была устранено оперативно. Никто из наших пользователей не обращался в службу поддержки по поводу этого инцидента. Если же у клиентов почты «Рамблера» возникли какие-либо трудности, с этим связанные, – мы готовы их быстро решить».

источник 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Mozilla устранила в Firefox и Thunderbird две 0-day, выявленные на Pwn2Own

Mozilla выпустила важные обновления для ряда продуктов, в которых разработчики устранили уязвимости нулевого дня (0-day). Речь идёт о проблемах в безопасности, которые исследователи выявили в ходе соревнования для хакеров — Pwn2Own 2022, прошедшем в Ванкувере.

Две критические бреши в случае их эксплуатации могут позволить злоумышленнику выполнить JavaScript-код на мобильных и десктопных устройствах, если потенциальная жертва использует уязвимые версии Firefox, Firefox ESR, Firefox для Android и Thunderbird.

По словам разработчиков, выявленные баги устранены в версиях Firefox 100.0.2, Firefox ESR 91.9.1, Firefox для Android 100.3 и Thunderbird 91.9.1.

Мэнфред Пол (@_manfp), один из исследователей, получил $100 000 за демонстрацию работы эксплойта, задействующего баги некорректной проверки ввода. Эксперт нашёл проблемы в безопасности в первый день Pwn2Own.

Одна из уязвимостей получила идентификатор CVE-2022-1802. В случае её использования киберпреступник может выполнить код JavaScript в контексте привилегированного приложения. Ещё одна брешь — CVE-2022-1529 — позволяет использовать некорректную проверку ввода в Java-объекте.

«Условный атакующий может отправить родительскому процессу сообщение, содержимое которого используется для двойного индексирования объекта JavaScript. В этом случае для злоумышленника открывается возможность выполнения кода JavaScript в контексте родительского процесса», — объясняет Mozilla.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru