Yahoo! sebelumnya sudah menambal kerentanan keamanan penting dalam layanan Mailnya. Kerentanan tersebut memungkinkan seorang penyerang untuk memata-matai inbox setiap user. Tapi ternyata, sekarang ditemukan kerentanan baru Yahoo yang memungkinkan seseorang membaca mail siapa saja.
Jouko Pynnönen, seorang peneliti keamanan Finlandia dari perusahaan keamanan Klikki Oy, melaporkan DOM berdasarkan persisten XSS (Cross-Site Scripting) di Yahoo mail. Kerentanan ini jika dieksploitasi memungkinkan penyerang untuk mengirim email yang sudah ditanam sebuah kode berbahaya.
Dalam postingan blognya yang baru-baru ini diterbitkan, Dia menunjukan bagaimana penyerang bisa mengirim inbox korban ke situs eksternal. Dan menciptakan virus dalam attachment ke semua outgoing mail juga diam-diam menambahkan script berbahaya dalam signature pesan.
Selama kode berbahaya ada dalam message’s body, kode akan berjalan segera setelah korban membuka email boobytrapped. Lalu muatan script tersembunyi juga akan diam-diam mengirimkan konten inbox korban ke situs web eksternal yang bisa dikendalikan oleh penyerang.
Masalah ini terjadi karena Yahoo Mail gagal dalam menyaring kode yang berpotensi berbahaya dalam email HTML
“Ini akan menjadi mungkin untuk menanamkan sejumlah atribut HTML yang mampu melewati penyaringan HTML Yahoo.” kata Pynnönen dalam posting blog-nya.
Pynnönen mengatakan dia menemukan kerentanan dalam penyaringan semua tag dan atribut HTML force-feeding untuk penyaringan HTML berbahaya. Akan tetapi kode HTML berbahaya tertentu berhasil melewatinya.
Pynnönen pribadi melaporkan kerentanan ini ke Yahoo melalui program HackerOne bug bounty. Dan dia pun menerima $ 10.000 dari Yahoo atas penemuannya ini.
