Yahoo vá lỗ hổng trong Yahoo Mail

Yahoo vừa vá một lỗ hổng bảo mật trong dịch vụ Yahoo Mail, từng cho phép tin tặc đánh cắp tài khoản người dùng và gây hại theo nhiều cách.

"Chúng tôi đã phát triển bản sửa lỗi cho lỗ hổng này và đã cho triển khai trên toàn thế giới. Người dùng Yahoo Mail sẽ tự động tránh được lỗi khai thác này", phát biểu của phát ngôn viên Yahoo, Kelley Podboy.

Lỗ hổng trên được Nir Goldshlager và Roni Bachar, hai chuyên gia của hãng bảo mật Avnet (Israel) phát hiện hồi đầu tháng 8 vừa rồi. Vấn đề nảy sinh từ cách thức Yahoo Mail xử lý file đính kèm. Bằng cách tạo ra một file đính kèm dạng HTML được mã hoá theo nhiều cách thức khác nhau, kẻ tấn công chủ đích có thể vượt qua cơ chế lọc bảo mật của Yahoo Mail để thực thi mã JavaScript độc hại.

Lỗi khai thác trên sẽ cho phép mã JavaScript thực thi ngay sau khi người nhận mở thông điệp e-mail, và thậm chí là ngay cả khi nạn nhân chưa mở file đính kèm.

Cũng theo phân tích của hai chuyên gia trên, lỗi khai thác còn cho phép tin tặc đánh cắp cookie Yahoo Mail, thâm nhập vào các phiên làm việc và truy nhập trái phép vào hộp thư người dùng.

"Cách thức tấn công này có thể kích hoạt một loạt các cuộc tấn công tinh vi khác, chẳng hạn như phát tán sâu, cài keylog, phishing, và quét cổng máy tính nạn nhân", nhận định của Roni Bachar.

Ngay sau khi phát hiện ra lỗ hổng trên, Bachar và Goldshlager đã liên hệ với Yahoo để nhà sản xuất phát triển bản vá cho hệ thống. Hiện tại, vẫn chưa có bất cứ cuộc tấn công khai thác lỗ hổng này.