พบช่องโหว่บน Yahoo เสี่ยงถูกแฮ็คเกอร์แอบอ่านอีเมล

Jouko Pynnönen นักวิจัยด้านความมั่นคงปลอดภัยจาก Klikki Oy ประเทศฟินแลนด์ ออกมาเปิดเผยถึงช่องโหว่ DOM-based Persistent XSS บน Yahoo Mail ซึ่งช่วยให้แฮ็คเกอร์สามารถแอบดูอีเมลทั้งหมด ผ่านทางการลอบส่งสคริปต์อันตรายไปยังอีเมลของเหยื่อได้

Pynnönen ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวลงบน Blog ของเขา ซึ่งแสดงให้เห็นว่า ช่องโหว่ XSS นี้ช่วยให้แฮ็คเกอร์แอบฝังมัลแวร์เข้าไปยัง Outgoing Email ทุกฉบับผ่านทางการใส่สคริปต์แปลกปลอมลงไปใน Signature ของอีเมลได้ เนื่องจากสคริปต์ถูกใส่อยู่ในเนื้อหาของอีเมลเลย ส่งผลให้เมื่อเหยื่อเปิดอีเมลดังกล่าว สคริปต์จะถูกรันทันที และมัลแวร์ที่อยู่ในนั้นจะทำการดึงข้อมูลอีเมลใน Inbox ของเหยื่อส่งไปยังไซต์ภายนอกของแฮ็คเกอร์

ต้นตอของช่องโหว่นี้เกิดจากการที่ระบบกรองโค้ดแปลกปลอมใน HTML Email ของ Yahoo Mail ทำงานได้ไม่ดีเพียงพอ ทำให้แฮ็คเกอร์มีช่องทางในการส่งสคริปต์แปลกปลอมเข้าไปยังอีเมลได้

“มันเป็นไปได้ที่จะฝัง HTML Attribute จำนวนหนึ่งที่ผ่านระบบกรอง HTML ของ Yahoo เพื่อให้รันการทำงานได้” — Pynnönen ระบุใน Blog ของเขา

Pynnönen ได้แจ้งช่องโหว่นี้ผ่านทาง Bug Bounty Program ของ Yahoo ส่งผลให้เขาได้รับเงินรางวัลสูงถึง $10,000 หรือประมาณ 360,000 บาท และทาง Yahoo ก็ได้ทำการอัปเดตแพทช์บน Yahoo Mail เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://klikki.fi/adv/yahoo2.html

ที่มา: http://thehackernews.com/2016/12/hack-yahoo-email.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel เตือน อุปทานชิปอาจจะลดลง จากวิกฤติไต้หวัน

ความตึงเครียดเหนือไต้หวันระหว่างจีนและสหรัฐฯ อาจจะทำให้เกิดปัญหาอุปทานชิปทั่วโลกลดลง อุณหภูมิความเดือดเพิ่มสูงขึ้นหลังจากการเยือนไต้หวันโดยประธานสภาผู้แทนราษฎรของสหรัฐฯ แนนซี เปโลซี

Microsoft เปิดตัว Office Version 16.64 (Build 22080400) สำหรับ Mac

การอัปเดต Current Channel Office Preview ใหม่มาพร้อมกับเวอร์ชัน 16.64 (ฺBuild 22080400) และเพิ่มฟังก์ชันการจัดการข้อความและอาร์เรย์ใหม่ ความสามารถในการสร้างรายการโปรดโฟลเดอร์ในบัญชีที่แชร์หรือที่ได้รับมอบสิทธิ์ใน Outlook