Yahoo telah menetapkan kecacatan dalam perkhidmatan Mel yang boleh membenarkan penggodam untuk mengesan e-mel pengguna hampir setahun selepas bug yang sama didedahkan dan ditambal. Jouko Pynnonen dari Finland menerima $ 10, 000 dari Yahoo kerana mendedahkan kelemahan baru, yang mana Yahoo telah menetapkan bulan lepas.

Kecacatan itu menyerang serangan skrip rentetan tapak yang memberikan penyerang kebenaran untuk membaca e-mel pengguna atau membuat virus untuk menjangkiti akaun Yahoo Mail. Pynnonen menjelaskan bahawa pengguna mesti melihat e-mel dari penyerang untuk bug itu berfungsi.

Bug serupa dengan kesilapan Yahoo Mail yang lama yang ditemui oleh Pynnonen tahun lalu yang dapat memberi kawalan penuh kepada akaun Yahoo Mail.

Kekurangan dalam penapis Yahoo

Pynnonen memetik kelemahan dalam penapis Yahoo untuk mesej HTML sebagai pelakunya untuk kelemahan terkini. Penapis berfungsi untuk menyekat kod jahat dari penyemak imbas pengguna. Menurut penyelidik, penapis gagal menangkap semua sifat data yang berniat jahat. Seorang penggodam kemudian boleh melaksanakan JavaScript yang jahat hanya dengan menghantar e-mel tersuai kepada mangsa.

Penyelidik menemui kecacatan dalam pandangan penyusunan e-mel, di mana pelbagai pilihan lampiran memanggil perhatiannya terhadap kemungkinan potensi dalam penapisan HTML asas. Pynnonen kemudian membuat e-mel dengan pelbagai lampiran dan menghantar mesej itu ke peti mel luaran. Setelah memeriksa HTML mentah yang terkandung di dalam e-mel, beberapa atribut jahat yang menarik perhatiannya.

"Apa yang menarik perhatian saya adalah data- * atribut HTML. Pertama, saya menyedari usaha tahun lalu saya untuk menghitung sifat HTML yang dibenarkan oleh penapis Yahoo tidak menangkap mereka semua."

Pynnonen fikir ia adalah mungkin untuk membenamkan beberapa atribut HTML yang akan melalui penapis HTML Yahoo. Dia akhirnya mendapati satu kes patologi selepas menyusun e-mel dengan data kasar- * sifat-sifat.

Yahoo telah dibakar awal tahun ini berikutan laporan yang menunjukkan sekurang-kurangnya 200 juta akaun Mail telah dijual di laman web gelap.

Baca juga:

• Bagaimana untuk melog masuk ke Windows 10 Mail dengan akaun Yahoo
• Aplikasi Mail Yahoo untuk Windows 10 kini menyegerakkan hubungan dengan Microsoft People