Исследователи безопасности признали обновление электронной почты Yahoo неэффективным

Исследователи безопасности признали обновление электронной почты Yahoo неэффективным

На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.

Исследователи безопасности сообщают, что обновление, выпущенное Yahoo в начале недели для серьезной уязвимости, не устранило проблему, и пользователи все еще подвержены опасности.

 XSS-уязвимость была обнаружена Шахином Рамезани (Shahin Ramezany), известным, как Abysssеc. Уязвимость позволяет злоумышленнику получить доступ к cookie на компьютерах жертв через их учетные данные электронной почты Yahoo, если пользователь нажмет на вредоносную ссылку.

В понедельник Yahoo выпустила обновление для уязвимости, тем не менее, тестирование исследователей компании Offensive Security показало, что проблема так и не была устранена.

Эксперты Offensive Security представили видео, в котором продемонстрировали действие атаки, не указав при этом подробности, которые позволили бы злоумышленникам ее воспроизвести. Исследователи сообщили, что XSS-фильтры могут предоставить хоть и недостаточную, но защиту от атак, а также предупредили пользователей не переходить по подозрительным ссылкам, пока Yahoo не устранит уязвимость.

С уведомлением Offensive Security можно ознакомиться здесь .

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!