اصلاح نقص حیاتی رایانامه‌ی یاهو با جایزه‌ی ۱۰ هزار دلاری

آسیب‌پذیری حیاتی در رایانامه‌ی یاهو که می‌توانست به نفوذگران اجازه دهد تا کنترل کامل حساب کاربری قربانی را در دست گیرند، دو هفته قبل با اصلاحیه‌ای برطرف شد.
این نقص در ۲۶ دسامبر توسط محقق فنلاندی Jouko Pynnonen افشاء شد و در تاریخ ۶ ژانویه اصلاح شد. Pynnonen برای این کار ده هزار دلار جایزه کسب کرد که یکی از بالاترین جایزه‌هایی بود که توسط شرکت یاهو بر اساس برنامه‌ی پرداخت جایزه‌ی HackerOne پرداخته شده است.
Pynnonen یک آسیب‌پذیری را از نوع تزریق کد کشف کرد که به او اجازه می‌داد تا از حساب قربانی رایانامه ارسال کند، تنظیمات او را تغییر دهد و یا پیام‌های او را به کارگزار حمله‌کننده هدایت کند. او گفت که قربانی تنها لازم است که رایانامه را مشاهده کند. هیچ تعامل دیگری از طریق پرونده‌ی پیوستی و یا پیوند‌های درج‌شده برای بهره‌برداری از این نقص لازم نیست.
«این آسیب‌پذیری می تواند برای اجرای جاوا اسکریپت در مرورگر قربانی که در یاهو وارد وب‌گاه می‌شود استفاده گردد. یک مهاجم می تواند بسیاری از کارها را با چنین جاوااسکریپتی را انجام دهد. Pynnonen به Threatpost می‌گوید: «این آسیب‌پذیری می‌تواند برای اجرای جاوااسکریپت در مرورگر قربانی هنگام ورود به حساب او در یاهو استفاده شود. مثال دیگر رونوشت‌کردن یک کد مخرب در تنظیمات رایانامه‌ی قربانی است به طوری که این کد می‌تواند در همه‌ی رایانامه‌های ارسالی قربانی تکثیر شود. این کد می‌تواند در امضای رایانامه‌های قربانی که به طور خودکار با هر رایانامه‌ای ارسال می‌شود قرار بگیرد.»
Pynnonen گفت که او از هر نوع سوءاستفاده از این نقص در میان عموم اطلاعی ندارد.
Pynnonen در گزارشی که دیروز منتشر شده است گفت که برخی از جاوااسکریپت‌ها و htmlهای ناقص می‌توانند پالایش‌گرهای یاهو را برای جست‌وجوی کدهای آلوده در رایانامه‌ها دور بزنند. Pynnonen گفت که تنها نسخه‌ی تحت شبکه‌ی رایانامه یاهو تحت تأثیر قرار گرفته است، اما نرم‌افزار کاربردی این سامانه برای تلفن‌های هوشمند مشکلی ندارد.
Pynnonen می‌گوید که در آزمون رایانامه‌ی یاهو، پیامی به وسیله‌ی همه‌ی تگ‌های HTML ایجاد می‌شود و برای این‌که مشخص شود که کدامیک از آن‌ها به وسیله‌ی یاهو اجازه دارد مورد بررسی قرار می‌گیرد. او فوراً متوجه می¬شود که اگر برخی از ویژگی‌های HTML بولی دارای یک ارزش باشند، این پالایش‌گر نمی‌تواند آن‌ها را از هم مجزا کند.
Pynnonen نوشته است: «این سردرگمی می‌تواند با قرار دادن ویژگی‌های HTML بدون محدودیت در تگ‌ها که یک ویژگی «بولی» پدید می‌آورد، مورد استفاده قرار گیرد.»
بنابراین هر جاوااسکریپتی که در این ویژگی قرار داده شده باشد، می‌تواند بدون نیاز به هیچ تعاملی از سوی کاربر اجرا شود.
Pynnonen می‌گوید که او دو بهره‌برداری اثبات مفهومی را برای یاهو نشان داده است.
او گفته است: «اگر شما یک رایانامه‌ی آلوده‌ی خاصی را باز کنید، محتویات صندوق ورودی شما به یک وب‌گاه فرستاده می‌شود.»
این رایانامه به نظر می‌رسد که برای قربانی بی‌ضرر باشد اما انتقال در پس‌زمینه اتفاق می‌افتد.
«دومین بهره‌برداری اثبات مفهومی یک بدافزار است که امضای رایانامه‌ی قربانی را آلوده می‌کند به طوری‌که بدافزار می‌تواند توسط هر رایانامه‌ای که توسط او فرستاده می‌شود ارسال شود.»
HackerOne و Bugcrowd دو سامانه‌ی مستقل پیشروی پرداخت جایزه در برابر اعلام حفره‌ی امنیتی هستند. یاهو برنامه‌ی جایزه‌ی خود را تحت سامانه‌ی HackerOne اجرا می‌کند، و می‌گوید که در سال ۲۰۱۵ تعداد پژوهش‌گرانی که در برنامه‌ی او مشارکت کرده‌اند در مقایسه با سال قبل ۲۰ درصد افزایش یافته است. علاوه بر این او گفت که در سال ۲۰۱۵، به طور متوسط پرداخت پاداش‌های او برابر ۱۰۸۲ دلار بود و بیشترین مقدار آن به مبلغ ۱۸ هزار دلار به Daniel LeCheminant برای کشف پنچ آسیب‌پذیری در مؤلفه‌های واکنشی و مدل‌های تجزیه و تحلیل نشانه‌گذاری بود. در مجموع این برنامه ۱۶۹۰۱ آسیب‌پذیری را پوشش داده و ۵٫۸۳ میلیون دلار جایزه پرداخت کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]