شماره: IRCNE2013011728
تاريخ:24/10/91
محققان امنيتي مي گويند اصلاحيه منتشر شده توسط ياهو براي آسيب پذيري جدي در ايميل، مشكل را برطرف نمي كند و كاربران هم چنان در معرض آسيب پذيري قرار دارند.
رخنه اسكريپت بين سايتي توسط Shahin Ramezany با نام مستعار "Abysssec" كشف شد. اين آسيب پذيري به مهاجم اين امكان را مي دهد تا اگر قرباني بر روي يك لينك مخرب كليك كند، كوكي هاي قرباني را براي حساب كاربري ياهو جمع آوري كند.
اين آسيب پذيري روز دوشنبه توسط ياهو اصلاح شد اما شركت تست نفوذ Offensive Security and Ramezany اعلام كرد كه اين اصلاحيه، آسيب پذيري موجود را برطرف نمي كند.
اين شركت در بيانيه اي اظهار داشت كه با تغيير كمي در كد اصلي proof-of-concept نوشته شده توسط "Abysssec" هنوز امكان سوء استفاده از اين آسيب پذيري وجود دارد و به مهاجم اين امكان را مي دهد تا به طور كامل كنترل حساب كاربري قرباني را در اختيار بگيرد.
شركت تست نفوذ Offensive Security and Ramezany گفت: فيلترهاي XSS دفاع ناچيزي را در برابر حملات فراهم مي كند و هشدار داد كه كاربران بايد تا زمان انتشار يك برطرف كننده براي اين آسيب پذيري توسط ياهو، نسبت به كليك كردن بر روي لينك ها در ايميل هايشان با احتياط عمل نمايند.
- 2