صفحه اول > راهنماییها
 

 

ضعف امنیتی در Yahoo Mail

شماره : IRCAD8316
تاریخ: 3 ژوئن 2004
منبع: GreyMagic.com
میزان خطر: به شدت بالا

سیستمهای تحت تاثیر:
سرویس ایمیل یاهو

چکیده

یکی از بزرگترین خطراتی که کاربران سرویسهای Webmail را تهدید میکند خطر سرقت اطلاعات آنها توسط ارسال کنندگان ایمیلهای خطرناک است. این ایمیلهای خطرناک عمدتا حاوی محتوای HTML و دستورات Jscript هستند. در سالهای اخیر دو سایت Hotmail و Yahoo و سایر رقیبان آنها تلاش زیادی در جهت حذف محتوای Jscript (بعنوان منبع اصلی خطر)از ایمیلهای HTML کرده اند. اما به نظر میرسد با وجود این تلاشها هنوز هم تعداد زیادی شکاف امنیتی برای عبور نفوذگران در این سایتها باز مانده است.

مقدمه

سرویس دهندگان ایمیل مبتنی بر وب (مانند Hotmail و yahoo)  طی سالهای اخیر تلاش زیادی در جهت هر چه قدرتمند کردن فیلترهای خود کرده اند. وظیفه اصلی این فیلتر ها عمدتا حذف Script (دستورات قابل اجرا در مرورگرها) از محتوای ایمیل است. البته برخی سرویس دهندگان میل صورت مساله را کلا پاک کرده اند. به این معنی که اساسا اجازه ارسال و دریافت ایمیل به شکل HTML را از کاربران گرفته اند. به این ترتیب هیچ  اسکریپتی هم دریافت نخواهد شد. اما سرویس دهندگان بزرگ نمیتوانند این کار بکنند. دلیل آن واضح است: حجم بسیار بالایی از کاربران علاقمندند که ایمیلهای مبتنی بر HTML (دارای فرمت مشخص و احتمالا شامل تصویر...) را دریافت کنند و نمیتوان این امکان را از آنها گرفت.

حال در صورتی که نفوذگری بتواند فیلتر یاهو را دور زده و اسکریپتی را در ایمیل دریافتی توسط شما قرار دهد خطرات زیر شما را تهدید خواهد کرد:

  • سرقت کلمه عبور
  • سرقت محتویات میل باکس
  • ارسال ایمیل توسط نفوذگر اما از طرف شما (البته انجام اینکار از روشهای ساده تر نیز امکانپذیر است)
  • دسترسی به فایلهای موجود روی کامپیوتر

مهم: در این سری شکافهای امنیتی ایمیل خطرناک شمال هیچ پیوستی (Attachment)  نیست و تنها کلیک کردن بر روی عنوان ایمیل کافی ست تا کامپیوتر شما آلوده شود.

توضیحات :

شکاف امنیتی کشف شده توسط Greymagic بر روی سایت یاهو از دو شکافی که پیشتر گزارش شده و توسط یاهو تصحیح شده بود بهره میگیرد:

  1. جایگزینی برخی کاراکترها بوسیله کدهای مربوطهjav&#97script:alert()..
  2. استفاده از یک ویژگی مرورگرها که جای خالی (White Space)  را در URL ها نادیده میگیرند. "java
script:alert()"

Exploit جدید با بهره گیری  ازین دو شکاف و نیز قرار دیدن چندین صفر پیش از فضای خالی عمل میکند:

java
script:alert()

راه حل:

  1. هر چند این شکاف فعلی توسط یاهو برطرف شده اما گزارشات متعددی از وجود شکافهای متعدد مشابه وجود دارد.
  2. بر روی عنوان ایمیلهای ناشناس کلیک نکنید.
  3. حتی در صورت رعایت مورد قبل باز ممکن است آلوده شوید زیرا این امکان وجود دارد که نفوذگر با اسمی آشنا برای شما میل بفرستد. حتی المقدور اطلاعات شخصی و حساس خود را از طریق ایمیلهای مبتنی بر وب منتقل نکنید.
  4. جهت ارسال و دریافت اطلاعات حساس از PGP یا راه حلی مشابه استفاده کنید.
  5. راه حل شناخته شده ای جهت حل کامل این مشکل گزارش نشده است.