Yahoo ha corregido un fallo en su servicio de correo que podría haber permitido a los hackers escuchar a escondidas los correos electrónicos de los usuarios casi un año después de que el mismo error fuera revelado y parcheado. Jouko Pynnonen de Finlandia recibió $10,000 de Yahoo por revelar la nueva vulnerabilidad, que Yahoo arregló el mes pasado.
El fallo se refería a un ataque de secuencias de comandos en varios sitios que daba a un atacante el permiso para leer el correo electrónico de un usuario o crear un virus para infectar las cuentas de correo de Yahoo. Pynnonen explicó que un usuario debe ver el correo electrónico de un atacante para que el error funcione.
El fallo era similar a un antiguo fallo de Yahoo Mail que Pynnonen descubrió el año pasado y que podía dar a los hackers el control total de una cuenta de Yahoo Mail.
Shortcoming en los filtros de Yahoo
Pynnonen citó una deficiencia en el filtro de Yahoo para mensajes HTML como el culpable de la última vulnerabilidad. El filtro funciona para bloquear el código malicioso del navegador del usuario. Según el investigador, el filtro no pudo capturar todos los atributos de datos maliciosos. Un hacker podría entonces ejecutar JavaScript malicioso simplemente enviando un correo electrónico personalizado a la víctima.
El investigador descubrió la falla en la vista de composición del correo electrónico, donde varias opciones de adjuntos llamaron su atención sobre un posible error en el filtrado básico de HTML. Pynnonen creó un correo electrónico con varios archivos adjuntos y envió el mensaje a un buzón de correo externo. Al inspeccionar el HTML sin procesar contenido en el correo electrónico, algunos atributos maliciosos llamaron su atención.
«Lo que me llamó la atención fueron los atributos HTML de datos*. Primero, me di cuenta de que el esfuerzo del año pasado por enumerar los atributos HTML permitidos por el filtro de Yahoo no los tenía todos».
Pynnonen pensó que era posible incrustar varios atributos HTML que pasarían por el filtro HTML de Yahoo. Finalmente encontró un caso patológico después de componer un correo electrónico con atributos abusivos de datos*.
Yahoo ha estado bajo fuego a principios de este año después de los informes que indican que al menos 200 millones de cuentas de correo fueron vendidas en la web oscura.
Lea también:
- Cómo iniciar sesión en Windows 10 Mail con una cuenta de Yahoo
-
La aplicación de Yahoo Mail para Windows 10 ahora sincroniza los contactos con Microsoft People