Yahoo Mail爆Yahoobleed漏洞,用戶郵件內容恐被看光光

上周Yahoo Mail中的ImageMagick軟體遭爆一項存在2年的漏洞可能曝露用戶郵件內容,Yahoo決定停用有問題的軟體元件。 

安全研究人員Chris Evans發現,Yahoo Mail中ImageMagick圖像處理函式庫內藏漏洞。這批漏洞和先前造成網路重大災難HeartbleedCloudbleed一樣,會導致伺服器記憶體中的內容洩露,因為被研究人員稱之為Yahoobleed。然而和之前的漏洞是經由越界(out-of-bound)讀取記憶體不同,這次漏洞乃是使用未初始化(uninitiated)的記憶體,並不會造成伺服器當機,因而更難被察覺。不過幸好洩露的內容只限於記憶體堆積區(heap)區段中的內容。 

研究人員展示了二項攻擊手法,一種只要在Yahoo Mail中寄送一個18 byte的惡意圖檔。當收件者點選信中圖片開啟預覽視窗時,Yahoo Mail伺服器的記憶體就開始洩露,他稱為Yahoobleed#1。第2種則是直接進行攻擊。 

上述的ImageMagick漏洞早在2015年1月就有修補程式,但Yahoo一直未能加以修補,直到接獲通報。Yahoo除了頒發抓漏獎金給研究人員,這次也決定直接停用ImageMagick。 

不過Yahoo停用的決定或許是更為正確。ImageMagick近來漏洞百出,去年即曾爆發遠端攻擊漏洞 ,威脅全球高達數百萬網頁伺服器,年初臉書也曾發現該項漏洞。

原文來自 iThome