Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!

Александр Панасенко 21 Января 2016 - 11:18
...
Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!

Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сервиса Yahoo. Баг позволял злоумышленнику отправить жертве письмо, содержащее скрытый вредоносный код, который исполнялся сразу же, как только жертва читала послание.

Пюннёнен нашел уязвимость в конце декабря и немедленно сообщил о проблеме представителям Yahoo. Баг оказался серьезным: при работе с веб-интерфейсом почтовый фильтр Yahoo! Mail функционировал некорректно, допуская внедрение вредоносного кода в HTML-письма. Данный XSS-баг не требует манипуляций с URL, что довольно нетипично для подобных уязвимостей. Исследователь заметил, что фильтр удаляет значения булевых атрибутов, но сам атрибут и последующий знак равенства при этом сохраняются. А значит, фильтр можно обмануть, пишет xakep.ru.

К примеру, если вставить в письмо изображение, используя тег <IMG>, а также применить атрибут «ismap», можно добиться выполнения произвольного JavaScript кода.

Yahoo! Mail трансформирует этот код таким образом, что когда жертва откроет письмо, код в атрибуте «onmouseover» будет выполнен без участия пользователя.

Исследователь представил proof-of-concept видео, где привел несколько возможных примеров эксплуатации уязвимости. Можно не только вставить в HTML-сообщение «невидимый» код. К примеру, можно внедрить вредоносный код в чужую подпись, создав таким образом распространяющего самостоятельно червя, который продолжит вставлять себя в подписи следующих жертв.

Пюннёнен проинформировал компанию о проблеме 26 декабря 2015 года, и 6 января 2016 года баг был устранен. Теперь знак равенства тоже удаляется фильтром, так что код из примера выше будет выглядеть следующим образом.

За эту XSS-уязвимость Yahoo выплатила исследователю $10 000, и это одно из самых крупных вознаграждений за всю историю существования bug bounty программы Yahoo. Представители компании подчеркнули, что данная уязвимость, ее последующий обзор, а также действия, оперативно предпринятые командной разработчиков Yahoo, являются идеальным примером того, зачем нужны программы вознаграждений за баги и как они должны работать.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Темпы роста ИТ-рынка в России упали, но в 2026 году могут подняться до 10%
Татьяна Никитина 28 Ноября 2025 - 17:52
Соответствие законодательству РФ Общее
Темпы роста ИТ-рынка в России упали, но в 2026 году могут подняться до 10%

По оценкам Т1, рост российского ИТ-рынка замедлился и по итогам уходящего года составит лишь 3% — против 20% в 2024 году. Однако затишье будет кратковременным, в 2026 году эксперты ожидают прироста в 10%.

В комментарии для «Ъ» гендиректор холдинга Дмитрий Харитонов объяснил спад на рынке ИТ, который заметили и другие аналитики, сдвигом акцента в бюджетах компаний в пользу пересмотра ИТ-проектов и процессов управления ресурсами после экстренных закупок в 2023-2024 годах в рамках импортозамещения.

По завершении интеграции новых активов и стабилизации портфелей бизнес-структур можно ожидать роста спроса на платформенные ИТ-решения и управляемые сервисы. Представитель T1 также не преминул отметить: невзирая на спад, прикладные программы, а также ИБ-продукты и услуги по-прежнему востребованы.

Наиболее мощным драйвером ИТ-рынка России является сегмент программного обеспечения и сопутствующих облачных услуг. По прогнозам T1, в 2026 году его объем возрастет на 9%.

Сегмент ИТ-оборудования переживает не лучшие времена, но в будущем году может показать рост до 8% из-за сдвига баланса в пользу отечественных решений.

Основным сдерживающим фактором роста, по мнению экспертов, является ужесточение нормативных требований — как по защите данных, так и в отношении использования ИИ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
77% корпоративных пользователей вставляют личные данные в запросы к ChatGPT
Новость
77% корпоративных пользователей вставляют личные данные в за...
VK Tech представила систему «Проекты VK WorkSpace» для командной работы
Новость
VK Tech представила систему «Проекты VK WorkSpace» для коман...
Протесты поколения Z вынудили власти Непала разблокировать соцсети
Новость
Протесты поколения Z вынудили власти Непала разблокировать с...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.