freestone-carryout
freestone-carryout
freestone-carryout
freestone-carryout

Yahoo! fixar cross-site script fel i Yahoo! Mail & Yahoo! Messenger

torsdag 26 juni 2008 by Iztari
, ,

Yahoo! har åtgärdat en sårbarhet, som medförde att användarna av deras populära webbmail vid risk att få sin inloggning stulen.

Ett "cross-site scripting" fel, vilket gjorde sessions-ID som skall vara stulna, innefattar samspelet mellan Yahoo! Mail och Yahoo! Messenger instant messaging-klient. Felet upptäcktes i maj av forskare vid säkerhetsföretaget Cenzic, som arbetat med Yahoo! i problemlösningen.

Yahoo! fixade sårbarheten den 13 juni, och tillät Cenzic att offentliggöra en detaljerad rådgivning på problemet. Cenzic förklarar att skojare skulle ha första var att inrätta "buddy" status med deras avsedda offren innan de utför attacken, som bara skulle arbeta på ett Yahoo! mail användaren hade konfigurerat Messenger stöd.

Om angriparen använder Yahoo! Messenger-programmet på datorn 8.1.0.209 att chatta med offret, och offret använder Messenger stöd i den nya Yahoo! Mail Web ansökan kommer det att orsaka en ny chatt-fliken för att öppna i offrets webbläsare. Samtidigt chattar, angriparen kan ändra sin status till "osynliga" orsakar ett budskap om "offline" i chatten fliken av offret.

Säkerhetsproblemet inträffade när angriparen sedan förändrade status, och skickade ett meddelande som innehåller ett skadligt sträng i form av ett statusmeddelande "online", med skriptet som körs i samband med Yahoo! Mail på offrets dator. Detta gjorde det möjligt för en angripare att få aktiva tillgång till offrets sessions-ID, och i sin tur stjäla deras Yahoo! identitet, exponerar känslig personlig information lagras i deras Yahoo! konto.

Cross-site scripting brister är en gemensam klass av sårbarheter, som har påverkat andra webbmailtjänster inklusive Gmail i det förflutna.

0 kommentarer