Бъг в популярна е-поща позволява кражба на имейли
Потребителите на известна уеб-поща за изложени на риск от хакерски офанзиви
(снимка: CC0 Public Domain)
Уязвимост с 9-годишна отминалост в Horde Webmail – безвъзмездна уеб-поща, която е включена общоприетоо в доста от хостинг проектите, разрешава кражба на имейли посредством атачмънти, сигнализира компания за сигурност.
SonarSource разгласява с разбор на уязвимостта, като предизвестява, че евентуалният нападател може да стигне до значима вътрешна информация, съхранявана в имейл сметките. Проблемът визира безплатната уеб-поща Horde, който разрешава на потребителите да четат, изпращат и провеждат имейли.
още по темата
За сполучлива офанзива е задоволително изпращане на писмо до евентуалната жертва със специфичен атачмънт. Визуализацията на този файл е отправната точка за потребление на 9-годишния бъг.
Уязвимостта датира от 30 ноември 2012 година, когато разработчиците трансформираха кода на Horde. Това е бъг от клас, който разрешава на нападателя да извърши пейлоуд на JavaScript, употребявайки специфичен документ на OpenOffice.
„ Експлойтът се започва сега, в който получателят отвори документа в браузър. В резултат на това нападателят може да открадне всички имейли, които жертвата е получила или изпратила ”, предизвестява SonarSource.
Експертите от SonarSource поучават потребителите на Horde да деактивират функционалността, която съдържа към момента неотстранената от разработчика накърнимост. В блога на компанията са оповестени указания по какъв начин може да стане това.
Източник: technews.bg
КОМЕНТАРИ