Yahoo parcheado recientemente tres vulnerabilidades explotables remotamente en sus servicios que hayan podido permitir a atacantes inyectar código malicioso y llevaron a secuestro de sesión, phishing, entre otros bugs.

Las vulnerabilidades en Yahoo Mail, Messenger y su sitio para compartir fotos Flickr clasificaron para bondades de Yahoo. Hasta la fecha, se ha pagado a través del programa de divulgación de vulnerabilidades HackerOne, una plataforma de la compañía comenzó a utilizar hace cinco meses. Para dar a los investigadores una nueva vía para reportar vulnerabilidades, empresas como Cloudflare y OpenSSL también han comenzado a utilizar el servicio en los últimos meses.

El primero de los tres, la vulnerabilidad código-inject persistente, afectó aplicación web de correo de Yahoo y API. Hasta que fue parcheado a principios de junio, el agujero podría haber permitido a un atacante subir o adjuntar sus propios archivos HTML maliciosos y enviarlos a otros usuarios de Yahoo.El principal problema es que la aplicación no realiza una validación adecuada cuando los archivos subidos. En cambio, cualquier persona que hace clic en el archivo adjunto HTML simplemente carga el script malicioso de inmediato, algo que podría exponerlos a los persistentes ataques del lado del cliente, phishing, redirecciones y secuestro sesión de usuario .

El segundo problema a la empresa encontró fue en una versión reciente de aplicación de chat de Yahoo, Yahoo Messenger. El aplicación permite a los usuarios compartir fotos, archivos y chatear, pero que era un problema con la manera en versión 11.5.0.228 de los Messenger podrian cargar codigo malicioso.La aplicación valida todos los números, incluso los no válidos y maliciosos a través de un host remoto. Mientras que el host remoto (validate.msg.yahoo.com) reconoció esto con una excepción el código ejecutandose asi a través el HTML, en una nueva ventana del chat.

Ateeq ur Rehman Khan, miembro del Equipo de investigación de la vulnerabilidad de laboratorio que encontró las tres vulnerabilidades, señaló en un reportaje de la edición del mensajero el lunes que si un hacker quería, podían simplemente copiar y pegar una carga especialmente diseñado que haría Derivación del filtro de la aplicación de chat. Esa carga se encendería para activar la ejecución de código y al igual que la cuestión de Yahoo Mail, conducir a secuestro de sesión, phishing, redirecciones y también abrir la aplicación hasta cargas de malware externos.

La última versión de Yahoo Messenger ahora hace cumplir entrada de validación y prohíbe la copia y pegado de lo que considera “solicitudes maliciosas” en los campos de entrada.

La última vulnerabilidad, divulgada el domingo, plagado tanto de la aplicación web y la API del servicio Flickr de Yahoo . El problema técnico reside en el módulo de notificación de correo de Flickr “invitar” y podría permitir que un atacante envía una invitación a alguien para utilizar Flickr a través de correo electrónico, pero que manipularan contexto el cuerpo del mensaje.

Si bien puede parecer una invitación normal, un atacante podría inyectar su propio script malicioso en el correo electrónico de forma remota y explotarla en el lado de la aplicación de la aplicación. Al igual que las otras dos vulnerabilidades, si se explota con éxito, la vulnerabilidad podría provocar secuestro de sesión, el robo de cuenta, y el phishing.

Yahoo parcheado el tema Flickr implementando un codificacion segura del mensaje de invitacion, Parece como si en el futuro la aplicación va a impedir la ejecución de código para los correos salientes con vulnerable contenido de los mensajes almacenados.

Si bien los problemas de Yahoo Mail y Flickr tomaron unos ocho meses para parchear – fueron encontrados en noviembre pasado – que tomó el equipo de Yahoo casi un año para arreglar el problema del mensajero, que fue llevado primero a la atención de los investigadores en julio pasado.

Khan informó los tres errores a Yahoo se realiazo a través de su programa de divulgación de vulnerabilidades HackerOne, una plataforma de la compañía comenzó a utilizar hace cinco meses. Para dar a los investigadores una nueva vía para reportar vulnerabilidades, empresas como Cloudflare y OpenSSL también han comenzado a utilizar el servicio en los últimos meses.

Khan, cuyo nombre apareció en la pared de recompensas de errores de Yahoo, (hall of fame), comento la vulnerabilidad de Flickr, que tenía una recompensa de $ 1.000 USD.

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

Noticias Seguridad1 Comment