Yahoo Mail: dati degli utenti esposti per mancata installazione di una patch

Yahoo Mail: dati degli utenti esposti per mancata installazione di una patch

La società non ha installato una patch di sicurezza per una libreria di elaborazione immagini: la vulnerabilità ha permesso di catturare informazioni presenti nella memoria dei server del servizio Yahoo Mail

di pubblicata il , alle 12:01 nel canale Sicurezza
Yahoo
 

Per molto tempo il servizio Yahoo Mail ha esposto numerosi dati sensibili degli utenti perché ha mancato di aggiornare un software di elaborazione delle immagini largamente utilizzato che conteneva vulneabilità critiche. Questo è quanto affermato da un ricercatore di sicurezza che ha avvertito che altri servizi popolari potrebbero essere suscettibili alla fuga di informazioni riservate dei propri utenti.

Chris Evans, ricercatore che ha scoperto le vulnerabilità e le ha condivise privatamente con gli ingegneri Yahoo, le ha chiamate "Yahoobleed" perché hanno causato una vera e propria emorragia di contenuti conservati nella memoria dei server alla base del servizio.

Le vulnerabilità sono state anche piuttosto semplici da sfruttare e sono state individuate in ImageMagick, una libreria di elaborazione immagini supportata da PHP, Ruby, NodeJS, Python e un altra manciata di linguaggi di programmazione. Una versione di Yhoobleed è stato il risultato della mancata installazione di una patch critica rilasciata a gennaio del 2015, mentre una seconda versone è frutto di un bug che gli sviluppatori di ImageMagik hanno risolto solo di recente dopo aver ricevuto una sengalazione privata da parte di Evans.

La vulnerabilità scoperta dal ricercatore può essere sfruttata inviando un'email contenente un file di immagine opportunamente manipolato ad un indirizzo Yahoo Mail. Dopo l'apertura del file, frammenti della memoria del server Yahoo iniziano a filtrare verso l'attaccante. Evans ha chiamato questa vulnerabilità "Yahoobleed1", mentre "Yahoobleed2" funzionava sfruttando le vulnerabilità risolte a gennaio 2015. Assieme le due falle hanno permesso agli attaccanti di ottenere cookie, token di autenticazione e allegati privati appartenenti agli utenti di Yahoo Mail.

Dopo la segnalazione di Evans, Yahoo ha deciso di eliminare completamente l'uso della libreria. Il ricercatore osserva che nell'ultimo anno e mezzo ImageMagik ha mostrato varie vulnerabilità critiche, minacciando la sicurezza di vari servizi online tra cui anche Facebook. Secondo il ricercatore altri vari servizi sono ancora vulnerabili.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Perseverance23 Maggio 2017, 12:37 #1
Bah, è assurdo che colossi del web che fatturano miliardi di dollari abbiano alla base dei loro portali codice opensource sviluppato da quattro gatti nel tempo libero come passatempo.

Ma che c'è da meravigliarsi?!

D'altronde seguire il profitto porta a questo.
andrew0423 Maggio 2017, 14:17 #2
Originariamente inviato da: Perseverance
Bah, è assurdo che colossi del web che fatturano miliardi di dollari abbiano alla base dei loro portali codice opensource sviluppato da quattro gatti nel tempo libero come passatempo.

Ma che c'è da meravigliarsi?!

D'altronde seguire il profitto porta a questo.


È imbarazzante questo commento...
WarDuck23 Maggio 2017, 14:26 #3
Classico articolo sensazionalistico, meglio leggere l'originale dell'autore in inglese ;-)

https://scarybeastsecurity.blogspot...14k-bounty.html
Erotavlas_turbo23 Maggio 2017, 22:12 #4
Originariamente inviato da: Perseverance
Bah, è assurdo che colossi del web che fatturano miliardi di dollari abbiano alla base dei loro portali codice opensource sviluppato da quattro gatti nel tempo libero come passatempo.

Ma che c'è da meravigliarsi?!

D'altronde seguire il profitto porta a questo.


Che ignoranza che c'è in giro...leggi qui prima di parlare senza sapere...
Perseverance23 Maggio 2017, 22:20 #5
Originariamente inviato da: Erotavlas_turbo
Che ignoranza che c'è in giro...leggi qui prima di parlare senza sapere...


Ma leggi icché? Imagemagik è baggato da anni e sviluppato a pezzi e bocconi, ti pare normale usarlo in portali che gestiscono dati personali? Se ti pare normale a te allora avanti così.

Opensource mica vuol dire sicuro eh...leggi te vai...
Erotavlas_turbo23 Maggio 2017, 22:32 #6
Originariamente inviato da: Perseverance
Ma leggi icché? Imagemagik è baggato da anni e sviluppato a pezzi e bocconi, ti pare normale usarlo in portali che gestiscono dati personali? Se ti pare normale a te allora avanti così.

Opensource mica vuol dire sicuro eh...leggi te vai...


Cosa stai dicendo? Quali sarebbero i bug irrisolti da anni di cui parli?

Dall'articolo riportato da WarDuck

*bleed attacks are hot right now. Most notably, there's been Heartbleed and Cloudbleed. In both cases, out-of-bounds reads in server side code resulted in private server memory content being returned to clients. This leaked sensitive secrets from the server process' memory space, such as keys, tokens, cookies, etc. There was also a recent client-side bleed in Microsoft's image libraries, exposed through Internet Explorer. One of the reason *bleed attacks are interesting is that they are not affected by most sandboxing, and they are relatively easy to exploit

Ho letto microsoft? Ah già il software closed source è sicuro...

YB1 abuses an 0-day I found in the ImageMagick image processing software. This vulnerability is now a so-called 1-day, because I promptly reported it to upstream ImageMagick and provided a 1-line patch to resolve the issue, which landed here. You can refer to it as CESA-2017-0002.

Informati prima di sparlare...
Thehacker6623 Maggio 2017, 23:57 #7
RImane il fatto che Yahoo è un colabrodo e mi meraviglia il fatto che non sia ancora partita una class action per tutti i furti di dati personali degli utenti che hanno subito negli ultimi anni.
Perseverance24 Maggio 2017, 11:42 #8
Originariamente inviato da: Erotavlas_turbo
Informati prima di sparlare...


Ceréne...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^