Recientemente y gracias de nuevo al programa de cazarrecompensas, Yahoo ha subsanado un fallo en el control de entrada por el cual y tras un ataque de cross-site scripting (XSS) un atacante podía, a través de un email especialmente preparado, pasar a ejecutar código malicioso y por ejemplo visualizar los correos de la víctima.

yahoo mail

De nuevo un fallo en el sistema que utiliza Yahoo para filtrar el contenido de los correos electrónicos permitía a un atacante remoto a través de un email con ciertos atributos preparados especialmente para el ataque evadir estos controles y permitir ejecutar código javascript, otorgando control sobre la cuenta de correo al atacante. La víctima en este caso únicamente debía abrir el correo sin ser necesaria ninguna otra interacción por su parte. Este ataque sirve de recordatorio de que ante un email de dudosa procedencia lo recomendable es marcarlo como correo no deseado, sin llegar a abrirlo ya que solo esa acción puede permitir el ataque.

El fallo como decíamos ha sido reportado por el investigador Jouko Pynnönen a través del programa de cazarrecompensas de HackerOne, lo cual le ha reportado unos ingresos de $10.000. Esta y otras iniciativas similares favorecen tanto la dedicación profesional a esta tarea por parte de investigadores independientes de todo el mundo como la mayor seguridad para todo el resto de usuarios.

Podéis leer más detalles sobre este ataque en la explicación del propio Pynnonen.

Fuente Jouko Pynnönen