Вторник, 21 ноября 2017 16 +   Подписка на обновления  RSS  Письмо редактору
Популярно
В доменах Yahoo, Microsoft и Orange обнаружена критическая уязвимость
3:35, 19 июня 2015

В доменах Yahoo, Microsoft и Orange обнаружена критическая уязвимость


Брешь позволяет злоумышленнику получить неавторизованный доступ типа Admin. По его словам, брешь позволяет злоумышленнику получить неавторизованный доступ типа Admin. Это, в свою очередь, предоставляет возможность осуществления инъекции удаленного кода.

Весьма известный ИБ-эксперт, занимающийся поиском уязвимостей, Ибрагим Хегази (Ebrahim Hegazy) обнаружил критическую уязвимость, которая затрагивает 6 доменов Yahoo, 4 домена MSN и несколько доменов серверов Orange.

Хегази говорит , что посредством эксплуатации уязвимости ему удалось получить доступ к панели администратора домена Yahoo.net. При этом для входа в нее эксперту не пришлось вводить учетные данные. Затем он создал файл формата .aspx и попытался перехватить POST-запрос во время создания новых файлов:

Создав файл «zigoo.aspx», он заметил, что такой же файл появился на ряде других доменов.

Обратившись в Microsoft с просьбой объяснить, почему происходит подобное, Хегази не получил ответ. Сам он считает, что дело в сервисе сети передачи данных (CDN) астрологического ресурса, который кеширует одинаковый контент для его передачи на поддомены.

Несмотря на то, что Yahoo обычно не выплачивает вознаграждения за обнаружения уязвимостей в Yahoo.net, Ибрагиму Хегази все же заплатили, отметив, что он проделал хорошую работу.

В Microsoft, как и в большинстве случаев, брешь исправили, но вознаграждения ИБ-эксперт не получил. С Orange ему связаться не удалось, однако исправление, выпущенное компанией из Редмонда, затронули и ее домены серверов.

Об авторе: profiremont


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2017 Информационно новостные статьи