Компания Yahoo по наводке ИБ-исследователя запатчила серьезную уязвимость в сервисе электронной почты для частных пользователей. XSS-баг давал возможность читать электронные сообщения в ящиках других пользователей.

Щедрая награда в $10 тыс. была выплачена исследователю Йоуко Пюннёнену (Jouko Pynnonen), который в частном порядке доложил об уязвимости через платформу HackerOne, где у Yahoo есть собственная программа Bug Bounty.

В описании уязвимости Пюннёнен рассказал, что баг похож на тот, что он нашел в Yahoo Mail в январе: та уязвимость также позволяла постороннему проникнуть в чужой ящик. В сервисе Yahoo реализована технология фильтрации HTML-сообщений, не пропускающая вредоносный код через браузер, но, как выяснилось, фильтр не справлялся со своей задачей на 100%. Чтобы обойти фильтр почтового сервиса, нужно послать специально сформированное письмо, открытие которого мгновенно запускает встроенный вредоносный JavaScript-код. Атакующему даже не нужно регистрировать собственный аккаунт на Yahoo-почте.

Пюннёнен признался, что новый баг не очень сложен, но найти его было непросто и автоматизированные инструменты и сканеры не справятся с этой задачей.

Представитель Yahoo отметил, что программа Bug Bounty от Yahoo, в которой заняты более 2 тыс. исследователей, работает весьма успешно и в ее рамках уже было выплачено около $2 млн. Благодаря этой инициативе было исправлено более 3 тыс. багов.

Категории: Уязвимости