США: Yahoo! выпустила внеочередные обновления безопасности

2

Не так давно в продуктах компании Yahoo! были обнаружены опасные уязвимости web-приложений, с помощью которых потенциальные злоумышленники могли удаленно скомпрометировать базу данных и сервер целевого web-сайта. Речь идет об SQL-инъекции, обнаруженной исследователем безопасности из Египта Ибрагимом Хегази (Ebrahim Hegazy).


Как следует из личного блога эксперта, уязвимость размещалась на одном из доменов Yahoo! – innovationjockeys.net – и существовала из-за неверной обработки входных данных в параметре “f_id”. С ее помощью эксперту удалось извлечь базу данных сервера, а уже в ней обнаружить зашифрованные логин и пароль для авторизации в административной панели.

Опасная брешь была устранена в течение первых суток после того, как Хегази связался с администраторами уязвимого домена. Вместе с тем, какой-либо премии исследователь не получит, поскольку упомянутый домен не входит в перечень web-сайтов Yahoo!, участвующих в программе выплаты вознаграждений. (Yahoo/NovostIT)