Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!

Александр Панасенко 21 Января 2016 - 11:18
...
Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!

Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сервиса Yahoo. Баг позволял злоумышленнику отправить жертве письмо, содержащее скрытый вредоносный код, который исполнялся сразу же, как только жертва читала послание.

Пюннёнен нашел уязвимость в конце декабря и немедленно сообщил о проблеме представителям Yahoo. Баг оказался серьезным: при работе с веб-интерфейсом почтовый фильтр Yahoo! Mail функционировал некорректно, допуская внедрение вредоносного кода в HTML-письма. Данный XSS-баг не требует манипуляций с URL, что довольно нетипично для подобных уязвимостей. Исследователь заметил, что фильтр удаляет значения булевых атрибутов, но сам атрибут и последующий знак равенства при этом сохраняются. А значит, фильтр можно обмануть, пишет xakep.ru.

К примеру, если вставить в письмо изображение, используя тег <IMG>, а также применить атрибут «ismap», можно добиться выполнения произвольного JavaScript кода.

Yahoo! Mail трансформирует этот код таким образом, что когда жертва откроет письмо, код в атрибуте «onmouseover» будет выполнен без участия пользователя.

Исследователь представил proof-of-concept видео, где привел несколько возможных примеров эксплуатации уязвимости. Можно не только вставить в HTML-сообщение «невидимый» код. К примеру, можно внедрить вредоносный код в чужую подпись, создав таким образом распространяющего самостоятельно червя, который продолжит вставлять себя в подписи следующих жертв.

Пюннёнен проинформировал компанию о проблеме 26 декабря 2015 года, и 6 января 2016 года баг был устранен. Теперь знак равенства тоже удаляется фильтром, так что код из примера выше будет выглядеть следующим образом.

За эту XSS-уязвимость Yahoo выплатила исследователю $10 000, и это одно из самых крупных вознаграждений за всю историю существования bug bounty программы Yahoo. Представители компании подчеркнули, что данная уязвимость, ее последующий обзор, а также действия, оперативно предпринятые командной разработчиков Yahoo, являются идеальным примером того, зачем нужны программы вознаграждений за баги и как они должны работать.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры не одобрило аутентификацию клиентов МФО через банковские сервисы
Яков Шпунт 28 Ноября 2025 - 09:41
Соответствие законодательству РФ Домашние пользователиГосударство Системы аутентификации
Минцифры не одобрило аутентификацию клиентов МФО через банковские сервисы

Минцифры и МВД не поддержали предложение Банка России об использовании биометрических систем банков для аутентификации клиентов микрофинансовых организаций (МФО). Минцифры настаивает на применении Единой биометрической системы (ЕБС), указывая, что рост числа её пользователей свидетельствует о повышении доверия к этой платформе.

Письма ведомств с отрицательными отзывами на инициативу Центробанка, допускающую использование коммерческих биометрических систем банков для проверки личности клиентов МФО, оказались в распоряжении «Ведомостей».

Источники, знакомые с ходом обсуждения, подтвердили подлинность документов. Кроме того, официальный комментарий пресс-службы Минцифры фактически повторил ключевые позиции, изложенные в письме ведомства.

Минцифры считает нецелесообразным использование сторонних сервисов для аутентификации клиентов микрофинансовых организаций. В документе МВД, подписанном заместителем главы ведомства Андреем Храповым, ЕБС названа «максимально надежным и безопасным» способом подтверждения личности.

С 1 марта 2026 года биометрическая аутентификация станет обязательной при дистанционном оформлении микрозаймов в МФО, а с 1 марта 2027 года — в микрокредитных компаниях. При этом разрешено использовать только ЕБС.

Собственные биометрические системы банков нередко не соответствуют стандартам ЕБС — это касается как качества данных, так и требований к их хранению, обеспечению сохранности и безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Google представил VaultGemma — LLM с дифференциальной приватностью
Новость
Google представил VaultGemma — LLM с дифференциальной приват...
Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом КриптоПро CSP
Новость
Финансам и ретейлу от имени ФСБ РФ раздают бэкдор под видом...
MULTISTATUS: на рынок вышел новый сервис мониторинга веб-ресурсов
Новость
MULTISTATUS: на рынок вышел новый сервис мониторинга веб-рес...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.