Breaking News

พบช่องโหว่บน Yahoo เสี่ยงถูกแฮ็คเกอร์แอบอ่านอีเมล

Jouko Pynnönen นักวิจัยด้านความมั่นคงปลอดภัยจาก Klikki Oy ประเทศฟินแลนด์ ออกมาเปิดเผยถึงช่องโหว่ DOM-based Persistent XSS บน Yahoo Mail ซึ่งช่วยให้แฮ็คเกอร์สามารถแอบดูอีเมลทั้งหมด ผ่านทางการลอบส่งสคริปต์อันตรายไปยังอีเมลของเหยื่อได้

Pynnönen ได้โพสต์รายละเอียดเกี่ยวกับช่องโหว่ดังกล่าวลงบน Blog ของเขา ซึ่งแสดงให้เห็นว่า ช่องโหว่ XSS นี้ช่วยให้แฮ็คเกอร์แอบฝังมัลแวร์เข้าไปยัง Outgoing Email ทุกฉบับผ่านทางการใส่สคริปต์แปลกปลอมลงไปใน Signature ของอีเมลได้ เนื่องจากสคริปต์ถูกใส่อยู่ในเนื้อหาของอีเมลเลย ส่งผลให้เมื่อเหยื่อเปิดอีเมลดังกล่าว สคริปต์จะถูกรันทันที และมัลแวร์ที่อยู่ในนั้นจะทำการดึงข้อมูลอีเมลใน Inbox ของเหยื่อส่งไปยังไซต์ภายนอกของแฮ็คเกอร์

ต้นตอของช่องโหว่นี้เกิดจากการที่ระบบกรองโค้ดแปลกปลอมใน HTML Email ของ Yahoo Mail ทำงานได้ไม่ดีเพียงพอ ทำให้แฮ็คเกอร์มีช่องทางในการส่งสคริปต์แปลกปลอมเข้าไปยังอีเมลได้

“มันเป็นไปได้ที่จะฝัง HTML Attribute จำนวนหนึ่งที่ผ่านระบบกรอง HTML ของ Yahoo เพื่อให้รันการทำงานได้” — Pynnönen ระบุใน Blog ของเขา

Pynnönen ได้แจ้งช่องโหว่นี้ผ่านทาง Bug Bounty Program ของ Yahoo ส่งผลให้เขาได้รับเงินรางวัลสูงถึง $10,000 หรือประมาณ 360,000 บาท และทาง Yahoo ก็ได้ทำการอัปเดตแพทช์บน Yahoo Mail เพื่ออุดช่องโหว่เป็นที่เรียบร้อย

อ่านรายละเอียดเชิงเทคนิคได้ที่: https://klikki.fi/adv/yahoo2.html

ที่มา: http://thehackernews.com/2016/12/hack-yahoo-email.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] iZeno รับมอบรางวัล Atlassian Partner of the Year 2019: Rising Star APAC

วันนี้ Atlassian ได้ประกาศสู่สาธารณะว่า บริษัท iZeno ถูกเลือกให้ได้รับรางวัล Atlassian Partner of the Year 2019: Rising Star APAC สืบเนื่องมาจากผลงานและความสำเร็จที่โดดเด่นในช่วงปีปฏิทิน 2019 โดยรางวัลอันทรงเกียรตินี้สะท้อนให้เห็นถึงความพยายามในการสร้างธุรกิจใหม่, การขับเคลื่อนความเป็นผู้นำเชิงความคิด รวมถึงเชื่อมต่อผลิตภัณฑ์และบริการเป็น solution stack ที่สามารถตอบโจทย์ความต้องการของลูกค้าทั้งในส่วนของ DevOps และ IT Service Management Solution (ITSM) ทั้งหมดนี้ได้เติมเต็ม Atlassian ในภาพรวมให้มีความสมบูรณ์แบบมากยิ่งขึ้น

Cloudflare ยกเลิกการใช้งาน reCAPTCHA เนื่องจากปัญหาด้าน Privacy และค่าใช้จ่าย

Cloudflare ได้ประกาศยกเลิกการใช้งาน reCAPTCHA ของ Google ในบริการต่างๆของตนเอง เนื่องจากปัญหาทางด้าน Privacy และค่าใช้จ่ายจำนวนมากที่เกิดขึ้น