Устранена критическая уязвимость почты Yahoo

Компания Yahoo сообщила об оперативном устранении опасной уязвимости в своем агенте электронной почты. Проблема была обнаружена исследователем Юко Пинноненом. В рамках программы премирования пользователей за найденные уязвимости он получил от компании весьма весомое вознаграждение в 10 тысяч долларов. Впрочем, эксплуатация уязвимости хакерами наверняка обошлась бы Yahoo куда дороже.

Уязвимость позволяла исполнение вредоносного JavaScript-кода, встроенного в специально созданное сообщение, причем для осуществления атаки требовалось лишь, чтобы пользователь открыл полученное письмо. После исполнения кода организаторы потенциальной атаки получали полный контроль над учетной записью пользователя. Они могли перехватывать и пересылать на свои серверы адресованную пользователю корреспонденцию, а также задействовать скомпрометированный аккаунт в рассылке спама или зловредов. Как заявил Юко Пиннонен, уязвимость была устранена компанией Yahoo максимально быстро, и нет никаких свидетельств того, что она успела стать мишенью реальных кибератак.