야후 이메일에 XSS 공격이 가능한 부분이 offensive-security 사이트를 통해 공개되었다.
(위의 동영상을 보면 attacker가 victim의 계정 세션을 훔쳐 로그인 한 해킹 시연 화면이 보임)
이 취약점을 밝힌 shahin은 야후에서는 shahin이 Abysssec.com 에서 공개한 취약점에 대해서 2013년 1월 7일 저녁 6시 20분에 이미 수정했다고 했지만, 아직도 완전히 Fix 되지는 않아서 공격이 먹히고 있다고 했다.
야후 메일을 사용하시는 분들은 메일에 덧붙여 들어가 있는 링크를 함부로 클릭하지 않아야 할 것 같다.
+. 이 공격을 공개한 Shahin에게 공격 Poc 코드를 제공하라고 많이들 DM을 보내는 모양인데 ㅋㅋㅋ 아래 Shahin씨가 Twitter에도 적었듯 PoC와 취약점 관련 상세문서는 Yahoo에서 취약점을 완전히 Fix 한 후 공개한다고 하니까 기다리시면 될듯 함.
http://www.offensive-security.com/offsec/yahoo-dom-xss-0day-prevails/
댓글 없음:
댓글 쓰기