欢迎光临
我们一直在努力

[视频]雅虎修复邮件服务大漏洞:研究者获10000美金奖励

雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。

multiple-mailboxesaccount-view-on-desktop.png【图片来源:Yahoo】

这个bug在1月早些时候被修复,距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。

私下里向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynnönen,被给予了1万美元的奖励。

Yahoo Mail stored XSS

Pynnönen表示,该漏洞在影响任何现实用户前就已被修复,问题在于雅虎是如何过滤邮件中的HTML格式的。

尽管该公司意欲借此阻止恶意代码被放入用户的收件箱,但该过滤器仍“漏过了个别恶意HTML代码格式”。

[编译自:Cnet]

未经允许不得转载:陈丹的博客 » [视频]雅虎修复邮件服务大漏洞:研究者获10000美金奖励

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址