17/09/2018, 17:35

Phát hiện lỗ hổng XSS trên Yahoo Toolbar

Yahoo đưa ra một thanh công cụ trình duyệt web gồm các ứng dụng cho các website đứng đầu như là Facebook, Yahoo!Mail, Weather và News. Yahoo Toolbar, cũng được gọi là Y! Toolbar, đang có sẵn trên các trình duyệt web Internet Explorer, Firefox và Google Chrome. Yahoo Toolbar là một trong ...

yahoo-hacking

Yahoo đưa  ra một thanh công cụ trình duyệt web gồm các ứng dụng cho các website đứng đầu như là Facebook, Yahoo!Mail, Weather và News. Yahoo Toolbar, cũng được gọi là Y! Toolbar, đang có sẵn trên các trình duyệt web Internet Explorer, Firefox và Google Chrome.

Yahoo Toolbar là một trong những add-on phổ biến nhất và được sử dụng rộng rãi nhất. Rất nhiều các phần mềm hay dùng như Java Update và hàng nghìn phần mềm miễn phí bao gồm các phần mềm diệt virus sử dụng Yahoo toolbar và đã đưa thanh công cụ này vào trong các file cài đặt của họ.

Một lỗ hổng vừa được nhà nghiên cứu bảo mật Behrouz SAdeghipour thông báo, lỗ hổng này có thể gây ra lỗ hổng Cross-site scripting (XSS) trên các websites phổ biến như Flickr, Yahoo. Google, Pinterest, Youtube, Amazon, Twitter và rất nhiều trang website khác.

Lỗ hổng trên Yahoo Toolbar khiến cho các website không có lỗi XSS cũng có thể bị khai thác. Dưới đây là ảnh chụp màn hình của Behrouz:

yahoo-xss-1

yahoo-xss-2 (1)

Behrouz cho biết: “Bất kỳ ai sử dụng Y! Toolbar đều có thể dễ dàng sử dụng Yahoo, Google, Youtube và nhiều dịch vụ khác, họ bị lừa đảo bằng cách truy cập vào bất kì những website trên chứa một vector XSS. Bởi vì những website này là những trang web có danh tiếng, nên nó sẽ trở nên dễ dàng hơn cho những kẻ tấn công đột nhập vào các tài khoản vì thực tế rằng các website tiếng tăm này chưa một mã độc được thiết kế để tấn công”.

Behrouz SAdeghipour đã báo cáo lỗ hổng này cho đội bảo mật của Yahoo và họ cũng đã khắc phục lỗ hổng này bằng một phiên bản mới.

Theo The Hacker News 

0