Yahoo ha parcheado una vulnerabilidad de seguridad crítica en su servicio de correo que podría haber permitido a un atacante poder espiar la bandeja de entrada de cualquier usuario Yahoo.
Jouko Pynnönen, un finlandés investigador de seguridad de la empresa de seguridad Klikki Oy, informó un DOM basado XSS persistente (Cross-Site Scripting) en el correo de Yahoo, que si se explota, permite a un atacante enviar correos electrónicos embebidos con código malicioso.
En su entrada en el blog publicado ayer, el investigador demostró cómo un atacante malintencionado podría haber enviado a la bandeja de entrada de la víctima a un sitio externo, y creó un virus que se adhirió a todos los mensajes salientes mediante la adición de un script malicioso en secreto a los mensaje.
Dado que el código malicioso se encuentra en el cuerpo del mensaje, el código va ejecutarlo tan pronto como la víctima abre el correo electrónico boobytrapped y su secuencia de comandos de carga útil se oculta secretamente al enviar contenido a la bandeja de entrada de la víctima a un sitio externo controlado por el atacante.
Este problema se debe a que Yahoo Mail no filtraba adecuadamente el código potencialmente malicioso en los correos electrónicos HTML.
«Sería posible incluir una serie de atributos HTML que se pasan a través del filtro HTML de Yahoo y tratadas especialmente,» Pynnönen dice en su blog.
Pynnönen dice que encontró la vulnerabilidad en la alimentación forzada de todas las etiquetas HTML y atributos conocidos con el fin de que el filtro de Yahoo utiliza para eliminar a un HTML malicioso, pero cierto código HTML malicioso logró pasar a través de él.
«Como una prueba de concepto suministré a Yahoo seguridad un correo electrónico que, cuando se ve, utiliza AJAX para leer el contenido de bandeja de entrada del usuario y enviarla al servidor del atacante,» dice Pynnönen.
Pynnönen divulgada de forma privada la vulnerabilidad a Yahoo a través de su programa de recompensas de errores HackerOne y fue galardonado con una recompensa de $ 10.000.
Pynnönen reportó una vulnerabilidad similar en la versión web del servicio de Correo Yahoo a principios de este año, por la que obtuvo $ 10.000. También informó de una vulnerabilidad XSS almacenado en Flickr de Yahoo en diciembre de 2015 por la que se ganó $ 500.