Gã khổng lồ web vừa phải khẩn cấp vá lại một lỗ hổng bên trong dịch vụ Yahoo Mail, vốn cho phép hacker truy cập vào tài khoản người dùng một cách trái phép.
Theo lời hãng bảo mật Cenzic, sự cố xảy ra khi dịch vụ web mail miễn phí của Yahoo tương tác với phiên bản 8.1.0.209 của ứng dụng chat IM Yahoo Messenger.
Nếu như hacker sử dụng ứng dụng IM để chat với nạn nhân, và nếu như người dùng đang kích hoạt tính năng IM bên trong Yahoo Mail!, một cửa sổ chat mới sẽ được mở ra bên trong trình duyệt web của nạn nhân.
Sau đó, kẻ tấn công có thể lợi dụng dòng Status để gửi mã độc thông qua IM tới máy tính nạn nhân.
Đoạn mã script này sẽ kích hoạt bên trong dịch vụ email và tiết lộ ID của nạn nhân cho hacker.
Hậu quả cuối cùng là hacker sẽ có thể truy cập vào mọi thông tin lưu bên trong tài khoản email đó, Cenzic cho biết.
Đại diện Cenzic đã thông báo với Yahoo về lỗ hổng nói trên từ cuối tháng 5, nhưng phải đến tận thời điểm này, Yahoo mới khắc phục xong sự cố.
Lỗ hổng chéo site
Theo phân loại của Cenzic, đây là lỗ hổng scripting chéo site (tức là lệnh hoặc mã script của một ứng dụng web đã chạy thành công trên một ứng dụng khác dù không được phép).
Lỗ hổng chéo site khá phổ biến trên mạng web hiện nay và tiềm ẩn rất nhiều nguy cơ nghiêm trọng đối với người dùng Internet.
Một khi đã nắm được quyền kiểm soát tài khoản email, hacker sẽ có thể bắt đầu phát tán thư rác.
Đó chính là lý do vì sao số lượng địa chỉ Yahoo Mail và Hotmail phát tán thư rác đột nhiên tăng vọt trong thời gian gần đây.
Nào đã hết. Theo Cenzic, lỗ hổng này còn cho phép hacker truy cập vào mọi contact bên trong danh sách bạn bè của Yahoo Messenger.
Kẻ tấn công sẽ có thể mạo danh nạn nhân và gửi đi các tin nhắn “tưởng như trong sáng”, với đường link dẫn tới các website độc.
