Yahoo! chiude una breccia nella webmail

Il portalone ha messo un pezza ad una falla di sicurezza che interessava il suo servizio di posta via web. Era possibile l'accesso ai dati degli utenti o alla cancellazione di file

Roma - Yahoo! ha dovuto correggere in tutta fretta una seria vulnerabilità di sicurezza che metteva a rischio i dati personali di chi utilizzava il suo servizio di Web-mail.

Secondo la società che ha scoperto il problema, Finjan Software, un aggressore avrebbe potuto sfruttare la falla per inviare agli utenti del servizio di Yahoo! una e-mail che, una volta aperta, poteva lanciare in automatico uno script malevolo in grado di sottrarre un certo numero di dati sensibili dell'utente, come password e numeri di carte di credito. Con questo attacco un cracker poteva anche riuscire, in taluni casi, a cancellare dei file memorizzati sul disco fisso della vittima.

Il codice dello script poteva essere scritto in vari linguaggi di scripting, fra cui Java, JavaScript, VB Script e Active X.
Yahoo! afferma ora di aver intrapreso tutte le contromisure necessarie per bloccare, all'interno delle e-mail HTML, la stragrande maggioranza degli script che potrebbero mettere in pericolo la sicurezza e la privacy dei propri utenti.

Proprio di recente Yahoo! è dovuta intervenire per correggere un serio bug di sicurezza che affliggeva il suo client di instant messaging.
TAG: mondo
5 Commenti alla Notizia Yahoo! chiude una breccia nella webmail
Ordina
  • e possibile che ogni buco e colpa di ie, lo uso da una vita e mai un problema, se i signori della yahooooo non sanno produrre del buon sw perche darne colpa ad ie, inoltre se il problema fosse di ie ci sarebbe un avviso di sicurezza con relativa patch, a me non sembra di averne letta nessuna.

    e ovvio che se l'utontone si mette a pasticciare con le policy di sicurezza di ie allora tutto e possibile.

    comunque a tutti gli utonti per essere sicuri antivirus attivo e in autoaggiornamento, firewall attivo (quello di default di winxp e già troppo) e non avete nessun problema.
    non+autenticato
  • La vulnerabilita' in questione, parliamoci chiaro, dipende sempre e solo dal solito browser untore.
    Si possono scrivere script che fanno le stesse operazioni di intrusione nei dati personali per qualunque sito di webmail, non solo su yahoo.
    Basta avere il solito schifoso browser che esegue tutte le porcate che gli script gli dicono di eseguire e tanti saluti.

    Io uso Yahoo mail dal secolo scorso e non ho mai avuto problemi di questo tipo.
    Il mio browser non esegue assolutamente niente senza la mia autorizzazione preventiva.

    non+autenticato
  • Ho cliccato sul tasto "rubrica" per inserire una nuova e-mail nella mia rubrica è mi sono comparsi una marea di indirizzi e-mail ordinati alfabeticamente, probabilmente l'intero database di indirizzi e-mailDeluso
    Sono tornato alla mail in arrivo, e subito dopo alla rubrica... ma finalmente c'erano solo i miei contattiA bocca aperta

    Per fortuna i miei dati non sono così compromettentiOcchiolino
    non+autenticato

  • "Secondo la società che ha scoperto il problema, Finjan Software, un aggressore avrebbe potuto sfruttare la falla per inviare agli utenti del servizio di Yahoo! una e-mail che, una volta aperta, poteva lanciare in automatico uno script malevolo"

    Va bene, ma con quali browsers ? Probabilmente IE.
    Con quali livello di sicurezza ? Sicuramente basso.
    Con un IE a livello di protezione basso, e' possibile fare qualunque cosa da una pagina web che accetta l'esecuzione di oggetti ActiveX (ma NON con le Applet Java -a meno che non si usi la VM di MS-, quindi ne DEDUCO che il problema e' dei SOLI utenti windows, ma questo l' autore lo ha inavvertitamente omesso).

    " in grado di sottrarre un certo numero di dati sensibili dell'utente, come password e numeri di carte di credito. "

    Questo non va bene. E' come dire che i dati delle carte di credito stanno sempre nella medesima locazione, o come dire che gli utenti stanno tutto il giorno a inserire dati di carte di credito....

    "Con questo attacco un cracker poteva anche riuscire, in taluni casi, a cancellare dei file memorizzati sul disco fisso della vittima."

    Si, ma normalmente lo puo' fare solo se ne conosce preventivamente la locazione su disco.

    "Il codice dello script poteva essere scritto in vari linguaggi di scripting, fra cui Java, JavaScript, VB Script e Active X.

    Tralasciamo il fatto che Java e ActiveX NON sono linguaggi di scripting, mente Javascript e VBScript lo sono.
    Impossibile fare danni con il solo scripting (a meno di vulnerabilita' specifiche del singolo browser, ma quale browser ?). Tramite lo scripting viene lanciato un ActiveX o un Applet Java malevolo, ma non esistono Applet Java malevoli, a meno di vulnerabilita' della VM, ma qui i problemi sono solo della VM di MS, quindi ne deduco ancora che il problema affigge i soli utenti Windows: perche' l'articolo non lo dice ?

    "Yahoo! afferma ora di aver intrapreso tutte le contromisure necessarie per bloccare, all'interno delle e-mail HTML, la stragrande maggioranza degli script che potrebbero mettere in pericolo la sicurezza e la privacy dei propri utenti."

    Cioe' ha bloccato i tag e gli script che richiamano oggetti ActiveX o Applet ? Strano che non ci abbiano pensato anni fa ...


    Il succo del discorso e' questo: se si potessero fare le cose citate nell'articolo con qualsiasi browser e con qualunque OS, il problema non sarebbe solo di Yahoo, ma di tutti i siti Internet che visualizzano pagine customizzate dagli utenti (tipo le email di Yahoo).
    Per fortuna non e' cosi'.

    GM


    non+autenticato
  • Clap ClapSorride

    Fan Linux
    non+autenticato