雅虎又爆XSS跨站脚本攻击漏洞 问题出在邮箱处理Youtube视频链接

芬兰安全研究人员Jouko Pynnonen第二次拿到雅虎1万美元奖金,这次是发现了一个全新的雅虎邮箱存储型跨站脚本漏洞。不到一年前,Pynnonen私下披露了雅虎邮箱的一个存储型跨站脚本(Stored XSS)漏洞,获得雅虎HackerOne计划颁发的10000美元奖金。

雅虎在11月29日(Pynnonen报告漏洞17天之后)修复了该漏洞。这个漏洞给用户带来的风险与2015年漏洞一样。也就是说,攻击者可以利用这个漏洞来读取受害人的电子邮件、在受害人电脑植入恶意软件或者利用其它漏洞。同时,受害人只要浏览攻击者发来的邮件就会中招。据Pynnonen说,完全不需要其他交互。

Pynnonen在邮件中说:“基本上,通过编造一封特殊格式的电子邮件,攻击者可以嵌入JavaScript。受害人通过雅虎邮箱浏览该邮件时,脚本就会在受害人浏览器中执行。攻击者不需要特殊的权限。实际上,甚至不需要注册雅虎邮箱就可以发动这样的攻击,只要受害人使用雅虎邮箱就行。”

在周四公布的漏洞描述中,Pynnonen解释了如何编造一封带有恶意data-*属性的邮件,通过滥用雅虎邮箱对白名单网站(例如YouTube)链接的显示方式,偷偷绕过雅虎过滤器将恶意JavaScript送进受害人电脑。

例如,雅虎邮箱显示YouTube视频链接时会生成链接增强器卡,在电子邮件中显示该视频的预览。

“当雅虎邮箱打开包含这类标记的邮件时,它会添加嵌入在<IFRAME>标记中的视频。视频旁边还会显示一个分享按钮。这些功能由雅虎邮箱的JavaScript代码通过data-*属性实现。

我试了试构造一封带有‘abusive’data-*属性的邮件。宾果!我很快发现了一个问题。在data-url值中插入一个引用符号会导致分享按钮中出现损坏HTML。只要URL指向YouTube这样的白名单网站,就不会有进一步的完整性检查或编码。这个值本来是为了设置一个div innerHTML,以创建分享按钮。

当在雅虎邮箱浏览这封邮件时,链接增强脚本会用data-url来渲染分享按钮。这个属性中的HTML段在页面中得以渲染——一个具有任意onerror属性的<IMG>标记,将导致攻击者提供的JavaScript被立即执行。”

去年12月26日,Pynnonen曾向雅虎报告了一个类似的漏洞,并在1月6日被修复。这两次10000万美元的赏金居于雅虎赏金计划支付的最高赏金之列。Pynnonen在比较这两个漏洞时说:“漏洞影响是一样的。区别在于如何格式化邮件,以达到执行脚本的目的。”

雅虎Yahoo近期的安全事件频出,相关文章请参考

Facebook从黑市购买用户账户?雅虎前任首席信息安全官出面解释 

5亿雅虎账户泄露到底是怎么发生的?Venafi说可能是证书加密有问题 

Verizon不想收购雅虎了? 雅虎说5亿数据事件是政府资助黑客所为 损失超过100万美金 

发表评论