Yahoo telah memperbaiki kesalahan dalam layanan Mail-nya yang bisa memungkinkan peretas menguping email pengguna hampir setahun setelah bug yang sama diungkapkan dan ditambal. Jouko Pynnonen dari Finlandia menerima $ 10.000 dari Yahoo karena mengungkapkan kerentanan baru, yang diperbaiki Yahoo bulan lalu.

Kekurangan tersebut terkait dengan serangan skrip lintas situs yang memberikan izin kepada penyerang untuk membaca email pengguna atau membuat virus untuk menginfeksi akun Yahoo Mail. Pynnonen menjelaskan bahwa pengguna harus melihat email dari penyerang agar bug dapat berfungsi.

Bug itu mirip dengan cacat Yahoo Mail lama yang ditemukan Pynnonen tahun lalu yang dapat memberi peretas kendali penuh atas akun Yahoo Mail.

Kekurangan dalam filter Yahoo

Pynnonen mengutip kelemahan dalam filter Yahoo untuk pesan HTML sebagai biang kerok kerentanan terbaru. Filter berfungsi untuk memblokir kode berbahaya dari browser pengguna. Menurut peneliti, filter gagal menangkap semua atribut data berbahaya. Seorang hacker kemudian dapat mengeksekusi JavaScript berbahaya hanya dengan mengirim email khusus ke korban.

Peneliti menemukan kelemahan dalam tampilan penulisan email, di mana berbagai opsi lampiran meminta perhatiannya terhadap bug potensial dalam penyaringan HTML dasar. Pynnonen kemudian membuat email dengan berbagai lampiran dan mengirim pesan ke kotak surat eksternal. Setelah memeriksa HTML mentah yang terkandung dalam email, beberapa atribut jahat menarik perhatiannya.

“Yang menarik perhatian saya adalah data- * atribut HTML. Pertama, saya menyadari upaya saya tahun lalu untuk menghitung atribut HTML yang diizinkan oleh filter Yahoo tidak menangkap semuanya. ”

Pynnonen berpikir mungkin untuk menyematkan beberapa atribut HTML yang akan melewati filter HTML Yahoo. Dia akhirnya menemukan kasus patologis setelah menulis email dengan atribut data * yang kasar.

Yahoo mulai dikecam awal tahun ini setelah adanya laporan yang mengindikasikan sedikitnya 200 juta akun Mail dijual di web gelap.

Baca juga:

• Cara masuk ke Windows 10 Mail dengan akun Yahoo
• Aplikasi Yahoo Mail untuk Windows 10 sekarang menyinkronkan kontak dengan Microsoft People