雅虎修复邮件服务大漏洞奖研究者10000美金

2016-01-21 10:24  阅读 605 次 评论 0 条

雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。

雅虎修复邮件服务大漏洞奖研究者10000美金

雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。

Yahoo Mail stored XSS

Pynnönen表示,该漏洞在影响任何现实用户前就已被修复,问题在于雅虎是如何过滤邮件中的HTML格式的。

尽管该公司意欲借此阻止恶意代码被放入用户的收件箱,但该过滤器仍“漏过了个别恶意HTML代码格式”。

历史上的今天:

本文地址:http://www.ruanman.net/archives/9602.html
版权声明:本文为原创文章,版权归 ﹖右掱邊﹎ヤ 所有,欢迎分享本文,转载请保留出处!

发表评论


表情