Total Security - www.totalsecurity.com.br
Segurança
Quarta - 05 de Dezembro de 2012 às 18:32

    Imprimir


Crackers podem ler e-mails, visualizar contatos e outros dados privados das contas de usuários do Yahoo que visitam uma página maliciosa comprometida por conta de uma falha em um recurso presente na rede do site, de acordo com um pesquisador de segurança independente.

Uma versão limitada do golpe foi demonstrada no domingo (2/12), durante a conferência de segurança DefCamp, que aconteceu em Bucareste, na Romênia. Quem realizou a demonstração foi o romeno Sergiu Dragos Bogdan, especializado em encontrar bugs em aplicativos web.

Em sua apresentação, o pesquisador mostrou como o recurso YQL (Yahoo Query Language) pode ser explorado por crackers com a finalidade de executar comandos YQL em nome de usuários autenticados que visitaram páginas maliciosas.

O recurso de desenvolvedor YQL é vulnerável a ataques de exploração cross-site, ou seja, crackers podem explorar essa falha para injetar scripts maliciosos dentro das páginas web e desencadear o ataque.

O YQL é uma linguagem de programação desenvolvida pelo Yahoo e é similar ao SQL (Structured Query Language). Ela pode ser usada para consultar, filtrar e combinar informações armazenadas na base de dados.

Usuários não autenticados podem apenas executar consultas YQL em tabelas que contêm informações publicamente visíveis no Yahoo, como dados do Yahoo Answers, Yahoo Weather e outros serviços. 

No entanto, quando autenticados, os usuários ganham acesso a tabelas que contêm informações de suas próprias contas, incluindo e-mails, contatos e informações privadas do perfil.




Fonte: IDGNOW

Comentários

Deixe seu Comentário

URL Fonte: http://www.totalsecurity.com.br/noticia/2804/visualizar/