Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!

Александр Панасенко 21 Января 2016 - 11:18

...

Сотрудник финской компании Klikki Oy Йоуко Пюннёнен (Jouko Pynnönen) обнаружил XSS-уязвимость в веб-интерфейсе почтового сервиса Yahoo. Баг позволял злоумышленнику отправить жертве письмо, содержащее скрытый вредоносный код, который исполнялся сразу же, как только жертва читала послание.

Пюннёнен нашел уязвимость в конце декабря и немедленно сообщил о проблеме представителям Yahoo. Баг оказался серьезным: при работе с веб-интерфейсом почтовый фильтр Yahoo! Mail функционировал некорректно, допуская внедрение вредоносного кода в HTML-письма. Данный XSS-баг не требует манипуляций с URL, что довольно нетипично для подобных уязвимостей. Исследователь заметил, что фильтр удаляет значения булевых атрибутов, но сам атрибут и последующий знак равенства при этом сохраняются. А значит, фильтр можно обмануть, пишет xakep.ru.

К примеру, если вставить в письмо изображение, используя тег <IMG>, а также применить атрибут «ismap», можно добиться выполнения произвольного JavaScript кода.

Yahoo! Mail трансформирует этот код таким образом, что когда жертва откроет письмо, код в атрибуте «onmouseover» будет выполнен без участия пользователя.

Исследователь представил proof-of-concept видео, где привел несколько возможных примеров эксплуатации уязвимости. Можно не только вставить в HTML-сообщение «невидимый» код. К примеру, можно внедрить вредоносный код в чужую подпись, создав таким образом распространяющего самостоятельно червя, который продолжит вставлять себя в подписи следующих жертв.

Пюннёнен проинформировал компанию о проблеме 26 декабря 2015 года, и 6 января 2016 года баг был устранен. Теперь знак равенства тоже удаляется фильтром, так что код из примера выше будет выглядеть следующим образом.

За эту XSS-уязвимость Yahoo выплатила исследователю $10 000, и это одно из самых крупных вознаграждений за всю историю существования bug bounty программы Yahoo. Представители компании подчеркнули, что данная уязвимость, ее последующий обзор, а также действия, оперативно предпринятые командной разработчиков Yahoo, являются идеальным примером того, зачем нужны программы вознаграждений за баги и как они должны работать.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 18 Июля 2025 - 19:28

Домашние пользователи

В Telegram может появиться верификация возраста на основе ИИ

На тестовом сервере Telegram обнаружено мини-приложение, которое при попытке просмотра контента 18+ предлагает подтвердить возраст, показав лицо с помощью камеры, встроенной в телефон или подключенной к компьютеру.

При этом юзера уверяют, что данные одноразовой идентификации (селфи) мессенджер не хранит. Планы по вводу возрастных ограничений на основе биометрии IM-сервис пока не озвучивал.

Ознакомившись с механизмом, специалисты заключили, что для выявления возраста по лицу тестовый софт использует ИИ-инструменты, способные по лицу в разных ракурсах определить пол, примерный возраст и эмоции.

Похоже, что это собственная разработка Telegram. Чужие фото в этом случае не прокатят, однако пользователи, которые выглядит моложе 18 лет, могут не пройти идентификацию.

Созданный на основе мини-приложения бот запускается из раздела настроек: Настройки > Настройки чатов (или Конфиденциальность и безопасность) > Материалы 18+. Наличия функций Face ID на устройстве для идентификации не требуется.

Новинка, если ей суждено осуществиться, ориентирована на пользователей стран, в которых введен запрет на просмотр контента деликатного характера для лиц моложе 18 лет, — к примеру, на жителей Великобритании.

Исследователь заработал $10 000, обнаружив XSS-уязвимость в почте Yahoo!

Читайте также