Debilidad en Yahoo! Correo podria ser explotada por phishers

Por marcelo-ar - 27 de Noviembre, 2005, 15:36, Categoría: General

Richard Fuchshuber informa sobre un extraño comportamiento en Yahoo! Correo al manejar mensajes con adjuntos html. Debido a este problema, es posible inyectar código html en la interface gráfica de Yahoo! Correo, es decir, fuera del cuerpo del mensaje.

Por ejemplo, al recibir en la cuenta de Yahoo! un mensaje que incluya un adjunto html con este código...

<?
<TABLE border="1" cellspacing="1" cellpadding="0">
<TR>Your profile is out of date, please update <a
href="http://www.sitio-de-phisher.com">clicking here.</a></TR>
</TABLE>

... con solo ver dicho mensaje, se insertará el texto "Your profile is out of date, please update clicking here" (su perfil está desactualizado, por favor, actualícelo haciendo clic aquí) debajo del menú superior del webmail de yahoo, como se ve en esta captura de la ventana del navegador que Richard Fuchshuber envió a Bugtraq:
http://richard.computeiro.com/yahoo_bug.jpg

Notar que la URL a la que se accede al hacer clic en "Clicking here" podría ser la del sitio de un hacker malicioso, a efectos de robar datos de la cuenta de correo emulando el diseño del sito web de yahoo.
Si bien en la barra de estado se muestra la URL real al pasar el puntero del mouse sobre el vínculo, algún usuario podría ser engañado y hacer clic en el enlace sin verificar ésto, ya que el mismo sale insertado dentro de la interface gráfica del webmail de yahoo.

Si bien esto no es una vulnerabilidad, se lo puede considerar como una debilidad del correo web de Yahoo!, ya que permite la inserción de texto e hipervínculos fuera del cuerpo principal del mensaje, lo cual podría ser explotado por phishers.

Al momento de publicar este post, y a pesar de que el problema fue reportado en la lista de correo Bugtraq hace cuatro días, he verificado que el mismo aún existe.

Richard Fuchshuber comenta que intentó contactar a yahoo! (a efectos de reportar esto) en varias oportunidades, sin éxito.

Referencias:

Bugtraq: XSS on Yahoo Mail
From: Richard Fuchshuber <richardfuch_at_yahoo.com.br>
Date: Wed, 23 Nov 2005 14:44:34 -0300 (ART)
http://seclists.org/lists/bugtraq/2005/Nov/0287.html

El Blog

Calendario

<<   Noviembre 2005  >>
LMMiJVSD
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30     

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker