На этой неделе Yahoo устранила XSS-уязвимости своего email-приложения, тем не менее, проблема все еще актуальна.
Исследователи безопасности сообщают, что обновление, выпущенное Yahoo в начале недели для серьезной уязвимости, не устранило проблему, и пользователи все еще подвержены опасности.
XSS-уязвимость была обнаружена Шахином Рамезани (Shahin Ramezany), известным, как Abysssеc. Уязвимость позволяет злоумышленнику получить доступ к cookie на компьютерах жертв через их учетные данные электронной почты Yahoo, если пользователь нажмет на вредоносную ссылку.
В понедельник Yahoo выпустила обновление для уязвимости, тем не менее, тестирование исследователей компании Offensive Security показало, что проблема так и не была устранена.
Эксперты Offensive Security представили видео, в котором продемонстрировали действие атаки, не указав при этом подробности, которые позволили бы злоумышленникам ее воспроизвести. Исследователи сообщили, что XSS-фильтры могут предоставить хоть и недостаточную, но защиту от атак, а также предупредили пользователей не переходить по подозрительным ссылкам, пока Yahoo не устранит уязвимость.
С уведомлением Offensive Security можно ознакомиться здесь .
Разбираем кейсы, делимся опытом, учимся на чужих ошибках