Veszélyben voltak a Yahoo-s postafiókok
A Yahoo! Mail webes levelezőszolgáltatáson egy súlyos biztonsági rés tátongott. A sebezhetőség révén egy támadó átvehette a hatalmat az áldozatául eső postafiók felett.A Yahoo! 2013 óta erőteljesen támogatja azon biztonsági kezdeményezését, amelynek keretében jutalmazza a sérülékenységeket első kézből bejelentő kutatókat. A cég tavaly közölt adatai szerint e programban résztvevők eddig több mint egymillió dollárral lettek gazdagabbak, de ami ennél fontosabb, hogy a Yahoo! webes szolgáltatásai és különféle alkalmazásai jóval biztonságosabbak lettek.
Az elmúlt napokban a vállalat jelezte, hogy egy rekordközeli jutalmat osztott ki egy súlyos sérülékenység felfedezéséért. A finn Jouko Pynnönen biztonsági kutató markát ugyanis nem kevesebb mint 10 ezer dollár ütötte, amiért a Yahoo! Mail kapcsán feltárt egy sebezhetőséget, és azt a szabályoknak megfelelően jelezte a fejlesztők számára.
Egyszerű, de veszélyes hiányosság
Pynnönen elmondta, hogy egy XSS (cross-site scripting) típusú sérülékenységre lett figyelmes, amely viszonylag egyszerűen kihasználható, és meglehetősen komoly fegyvert ad a támadók kezébe. Ahhoz, hogy a hiba problémát okozzon, alapvetően csak egy speciálisan összeállított e-mailre van szükség, amit a támadónak el kell küldenie a kiszemelt felhasználó Yahoo-s címére. Amikor ezt a címzett a webes Mail szolgáltatás segítségével megnyitja, akkor a levélben elhelyezett kód azonnal lefut. Ezt követően az elkövető számos módon veszélyeztetheti a felhasználó levelezését. Így például beállításokat manipulálhat, vagy a háttérben továbbíthatja a beérkező leveleket saját magának. Sőt az az eset is elképzelhető, hogy egy vírusterjesztő egy kompromittált postafiókon keresztül kezd el küldözgetni fertőzött - vírusos csatolmánnyal ellátott - elektronikus leveleket.
A kutató szerint a biztonsági rést az okozta, hogy a Yahoo! rendszere nem minden esetben ellenőrizte és szűrte kellő alapossággal az üzeneteket. Ennek következtében a szűrő nem távolított el minden olyan karaktert, ami biztonsági szempontból indokolt lett volna. Ezért fordulhatott elő az, hogy az alábbi képen szereplő kis - amúgy jelen esetben ártalmatlan - JavaScript kód felhasználói közreműködés nélkül le tudott futni egy e-mail megtekintésekor.
A Yahoo! december 26-án értesült a sérülékenységről, és január 6-án szüntette meg azt. Vagyis a szóban forgó biztonsági hiba már nem jelent veszélyt. A vállalat hangsúlyozta, hogy a Yahoo! Mailhez kapcsolódó mobil alkalmazás nem tartalmazta a sebezhetőséget. Mindezt nem véletlenül emelte ki a vállalat, hiszen tavaly decemberben a mobil alkalmazása kapcsán kerültek napvilágra olyan rendellenességek, amik szintén tetszőleges kódokkal történő visszaélésekre adhattak lehetőséget.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.