Home > Notícias

Yahoo resolve bug que deixava cracker controlar conta do usuário

Falha detectada em maio estava na maneira pela qual o Yahoo Mail interagia com a versão 8.1.0.209 do mensageiro do buscador.

IDG News Service/Reino Unido

25/06/2008 às 10h04

Foto:

O Yahoo corrigiu uma brecha em seu webmail que permitia que um cracker tivesse acesso à conta do usuário.

O problema estava na maneira pela qual o Yahoo Mail interagia com a versão 8.1.0.209 do mensageiro do buscador, de acordo com a consultoria Cenzic, que notificou o Yahoo do problema em maio.

Caso um cracker começasse a conversar usando o mensageiro integrado ao serviço, uma aba de chat seria aberta no navegador da vítima. O cracker poderia então manipular sua mensagem de status para enviar um script malicioso por IM. O script seria executado no contexto do serviço do Yahoo configurado no PC da vítima.

O script pode revelar o ID da sessão da vítima ao cracker, que poderá ter acesso a informações armazenadas na conta, afirmou a Cenzic.

Cenzic classificou a brecha como uma falha de script por múltiplos sites, onde comandos de uma aplicação online que não deveriam rodam em outra com sucesso.

A vulnerabilidade também permitiria o acesso aos contatos do mensageiro da vítima. O cracker pode enviar mensagens fingindo ser o usuário legítimo, mas com links que levam o contato a sites maliciosos que podem tentar explorar brechas no seu browser.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail