بی اثر بودن اصلاحیه یاهو

محققان امنیتی می گویند اصلاحیه منتشر شده توسط یاهو برای آسیب پذیری جدی در ایمیل، مشکل را برطرف نمی کند و کاربران هم چنان در معرض آسیب پذیری قرار دارند.
رخنه اسکریپت بین سایتی توسط Shahin Ramezany با نام مستعار “Abysssec” کشف شد. این آسیب پذیری به مهاجم این امکان را می دهد تا اگر قربانی بر روی یک لینک مخرب کلیک کند، کوکی های قربانی را برای حساب کاربری یاهو جمع آوری کند.
این آسیب پذیری روز دوشنبه توسط یاهو اصلاح شد اما شرکت تست نفوذ Offensive Security and Ramezany اعلام کرد که این اصلاحیه، آسیب پذیری موجود را برطرف نمی کند.
این شرکت در بیانیه ای اظهار داشت که با تغییر کمی در کد اصلی proof-of-concept نوشته شده توسط “Abysssec” هنوز امکان سوء استفاده از این آسیب پذیری وجود دارد و به مهاجم این امکان را می دهد تا به طور کامل کنترل حساب کاربری قربانی را در اختیار بگیرد.
شرکت تست نفوذ Offensive Security and Ramezany گفت: فیلترهای XSS دفاع ناچیزی را در برابر حملات فراهم می کند و هشدار داد که کاربران باید تا زمان انتشار یک برطرف کننده برای این آسیب پذیری توسط یاهو، نسبت به کلیک کردن بر روی لینک ها در ایمیل هایشان با احتیاط عمل نمایند.

About The Author

Related posts

Leave a Reply

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*