به گزارش دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان؛ آسیب‌پذیری حیاتی در رایانامه‌ی یاهو که می‌توانست به نفوذگران اجازه دهد تا کنترل کامل حساب کاربری قربانی را در دست گیرند، دو هفته قبل با اصلاحیه‌ای برطرف شد.

این نقص در ۲۶ دسامبر از سوی محقق فنلاندی "Jouko Pynnonen" افشاء شد و در تاریخ ۶ ژانویه اصلاح شد. Pynnonen برای این کار ده هزار دلار جایزه کسب کرد.

Pynnonen یک آسیب‌پذیری را از نوع تزریق کد کشف کرد که به او اجازه می‌داد تا از حساب قربانی رایانامه ارسال کند، تنظیمات او را تغییر دهد و یا پیام‌های او را به کارگزار حمله‌کننده هدایت کند.

 او گفت که قربانی تنها لازم است که رایانامه را مشاهده کند. هیچ تعامل دیگری از طریق پرونده‌ی پیوستی و یا پیوند‌های درج‌شده برای بهره‌برداری از این نقص لازم نیست.این آسیب‌پذیری می تواند برای اجرای جاوا اسکریپت در مرورگر قربانی که در یاهو وارد وب‌گاه می‌شود استفاده شود. یک مهاجم می تواند بسیاری از کارها را با چنین جاوااسکریپتی را انجام دهد.

 یاهو برنامه‌ی جایزه‌ی خود را تحت سامانه‌ی HackerOne اجرا می‌کند، و می‌گوید که در سال ۲۰۱۵ تعداد پژوهش‌گرانی که در برنامه‌ی او مشارکت کرده‌اند در مقایسه با سال قبل ۲۰ درصد افزایش یافته است.

انتهای پیام/