Společnost Yahoo odstranila bezpečnostní chybu svého webového rozhraní freeemailu Yahoo. Prostředí bylo napadnutelné pomocí tzv. null-byte zranitelnosti. Na celý problém poukázala společnost Sec-Consult.
Yahoo se na jednom z největších světových emailů snaží bránit různých zranitelnostem a pokusem o prolomení. Null-byte útok provádí útočníci pomocí zákeřného vkládání ukončovacího znaku NULL. Yahoo mail neměl tuto možnost zneužití plně ošetřenu. Pokud útočník zaslal znak NULL ve formě metadat, interní bezpečnostní filtr Yahoo se na něm zastavil a zbytek textu byl z hlediska kontroly ignorován. Útočník tak mohl jednoduše do této nekontrolované části zprávy vpravit potenciálně nebezpečný kód.
Další informace naleznete zde.
