قامت Yahoo بتثبيت ثغرة في خدمة البريد الخاصة بها والتي كان يمكن أن تسمح للمتسللين بالتنصت على رسائل البريد الإلكتروني الخاصة بالمستخدم بعد مرور عام تقريبًا على الكشف عن نفس الأخطاء وتصحيحها. تلقى Jouko Pynnonen من فنلندا 10 آلاف دولار من Yahoo للكشف عن الثغرة الأمنية الجديدة ، التي حددتها Yahoo الشهر الماضي.

يتعلق الخلل بهجوم البرمجة النصية عبر المواقع والذي أعطى للمهاجم الإذن لقراءة البريد الإلكتروني للمستخدم أو إنشاء فيروس لإصابة حسابات Yahoo Mail. أوضح Pynnonen أنه يجب على المستخدم عرض البريد الإلكتروني من أحد المهاجمين حتى يعمل الخطأ.

كان هذا الخطأ مشابهاً للعيوب القديمة في Yahoo Mail التي اكتشفها Pynnonen في العام الماضي والتي قد تمنح المتسللين السيطرة الكاملة على حساب Yahoo Mail.

عيب في ياهو المرشحات

استشهد Pynnonen بأحد أوجه القصور في مرشح Yahoo لرسائل HTML باعتباره السبب وراء مشكلة عدم الحصانة الأخيرة. يعمل الفلتر على حظر الكود الضار من متصفح المستخدم. وفقًا للباحث ، فشل المرشح في التقاط كل خصائص البيانات الضارة. يمكن للمتطفل بعد ذلك تنفيذ جافا سكريبت الخبيث فقط عن طريق إرسال بريد إلكتروني مخصص إلى الضحية.

اكتشف الباحث العيب في طريقة عرض البريد الإلكتروني ، حيث لفتت خيارات المرفقات المختلفة انتباهه إلى الأخطاء المحتملة في تصفية HTML الأساسية. ثم أنشأ Pynnonen رسالة بريد إلكتروني بها مرفقات مختلفة وأرسل الرسالة إلى صندوق بريد خارجي. عند فحص HTML الخام الموجود في البريد الإلكتروني ، لفتت بعض السمات الخبيثة انتباهه.

"ما لفت انتباهي هو سمات HTML للبيانات *. أولاً ، أدركت أن الجهود التي بذلتها في العام الماضي لتعداد سمات HTML المسموح بها بواسطة مرشح Yahoo ، لم تلتقطها جميعًا."

اعتقد Pynnonen أنه من الممكن تضمين العديد من سمات HTML التي قد تمر عبر مرشح HTML الخاص بـ Yahoo. وجد أخيرًا حالة مرضية بعد إنشاء رسالة بريد إلكتروني تحتوي على سمات * بيانات مسيئة.

تعرضت ياهو للنيران في وقت سابق من هذا العام بعد تقارير تشير إلى أنه تم بيع 200 مليون حساب بريد على شبكة الإنترنت المظلمة.

اقرأ أيضا:

• كيفية تسجيل الدخول إلى Windows 10 Mail باستخدام حساب Yahoo
• يقوم تطبيق Yahoo Mail لنظام التشغيل Windows 10 بمزامنة جهات الاتصال مع Microsoft People