Yahoo heeft een fout in zijn e-mailservice verholpen waardoor hackers bijna een jaar nadat dezelfde bug werd bekendgemaakt en gepatcht, de e-mails van gebruikers konden afluisteren. Jouko Pynnonen uit Finland ontving $ 10.000 van Yahoo voor het bekendmaken van de nieuwe kwetsbaarheid, die Yahoo vorige maand heeft opgelost.

De fout betrof een cross-site scripting-aanval die een aanvaller de toestemming gaf om de e-mail van een gebruiker te lezen of een virus te maken om Yahoo Mail-accounts te infecteren. Pynnonen legde uit dat een gebruiker de e-mail van een aanvaller moet bekijken om de bug te laten werken.

De bug was vergelijkbaar met een oude Yahoo Mail-fout die Pynnonen vorig jaar ontdekte en die hackers volledige controle over een Yahoo Mail-account kon geven.

Tekortkoming in Yahoo-filters

Pynnonen noemde een tekortkoming in Yahoo's filter voor HTML-berichten als de dader voor de nieuwste kwetsbaarheid. Het filter blokkeert schadelijke code van de browser van de gebruiker. Volgens de onderzoeker slaagde het filter er niet in alle attributen van kwaadaardige gegevens vast te leggen. Een hacker kan vervolgens kwaadaardig JavaScript uitvoeren door een aangepast e-mailadres naar het slachtoffer te sturen.

De onderzoeker ontdekte de fout in de weergave voor het opstellen van e-mail, waarbij verschillende bevestigingsopties zijn aandacht vestigden op mogelijke fouten in eenvoudige HTML-filtering. Pynnonen maakte vervolgens een e-mail met verschillende bijlagen en stuurde het bericht naar een externe mailbox. Bij het inspecteren van de onbewerkte HTML in de e-mail trokken enkele kwaadaardige attributen zijn aandacht.

“Wat me opviel, waren de data- * HTML-attributen. Eerst realiseerde ik me dat mijn vorig jaar inspanningen om de HTML-kenmerken op te sommen die door het filter van Yahoo waren toegestaan, ze niet allemaal haalden."

Pynnonen dacht dat het mogelijk was om verschillende HTML-kenmerken in te sluiten die door het HTML-filter van Yahoo zouden gaan. Hij vond uiteindelijk een pathologisch geval na het opstellen van een e-mail met misbruik van gegevens- * attributen.

Yahoo is eerder dit jaar onder vuur genomen naar aanleiding van rapporten die aangeven dat tenminste 200 miljoen Mail-accounts op het dark web zijn verkocht.

Lees ook:

• Aanmelden bij Windows 10 Mail met een Yahoo-account
• Yahoo Mail-app voor Windows 10 synchroniseert nu contacten met Microsoft People