США: Уязвимость в почтовом сервисе Yahoo! позволяла без труда подменять имя отправителя письма

0

Компания Vulnerability Lab раскрыла подробности об уязвимости в почтовом сервисе Yahoo!, обнаруженной независимым экспертом Лоуренсом Эмером (Lawrence Amer) в октябре прошлого года. Ошибка позволяла злоумышленнику без привилегий пользователя удаленно подменять имя отправителя электронного письма в классическом web-интерфейсе сервиса.


Уязвимость содержалась в модуле “написать сообщение” (“compose message”) почтового web-приложения Yahoo!. Злоумышленник мог подменить имя отправителя, используя метод POST. Другими словами, авторизовавшись в своей учетной записи в почтовом сервисе, любой желающий мог открыть в браузере инструменты разработчика, найти свой адрес в коде и подменить его другим. Уровень опасности уязвимости определен как средний. Компания Yahoo! выпустила исправление для данной ошибки 29 февраля 2016 г. (Yahoo/NovostIT)