Για χρόνια το Yahoo Mail εξέθετε προσωπικά δεδομένα χρηστών του, επειδή απέτυχε να αναβαθμίσει ένα ευρέως χρησιμοποιούμενο λογισμικό επεξεργασίας εικόνας, που έχει σοβαρές ευπάθειες.
Ο Chris Evans που το εντόπισε και ενημέρωσε τους μηχανικούς της Yahoo, το ονόμασε Yahoobleed, επειδή οι ευπάθειες "αιμορράγησαν" δεδομένα από τους servers του.
Η προβληματική βιβλιοθήκη είναι η ImageMagick, που υποστηρίζεται από τις HP, Ruby, NodeJS, Python και τουλάχιστον άλλες 12 γλώσσες προγραμματισμού. Η μια εκδοχή του Yahoobleed οφείλεται στην ανικατότητα της Yahoo να εγκαταστήσει κρίσιμο patch του 2015, ενώ η 2η ευπάθεια επισκευάστηκε πρόσφατα από τους developers της ImageMagick .
Σύμφωνα με τον EvansThe vulnerability discovered by Evans could be exploited by e-mailing a maliciously manipulated image file to a Yahoo Mail address. After opening the 18-byte file, chunks of Yahoo server memory began leaking to the end user. Evans called this version of the attack "Yahoobleed1." "Yahoobleed2" worked by exploiting the vulnerability fixed in January 2015.
Πηγή : ArstechnicamageMagick usage is a real mess. I'm sure there are lots of sites out there which are still vulnerable to this. To give a couple of data points, I found big Silicon Valley companies such as Box and Yahoo! were using two-year old versions of ImageMagick. So it seems unlikely that everyone has updated for this very recent issue.
Εμφάνιση 1-15 από 17
Θέμα: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια
-
23-05-17, 13:04 Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.753
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
23-05-17, 13:10 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #2
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.753
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
πόσο πιο κάτω πια.
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
23-05-17, 13:29 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #3
" Η μια εκδοχή του Yahoobleed οφείλεται στην ανικατότητα της Yahoo να εγκαταστήσει κρίσιμο patch του 2015"
Τι εννοεί ο ποιητής ανικανότητα..? Πόσο ανίκανος μπορέι να είσαι να βάλεις ένα pacth ..?
-
23-05-17, 13:30 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #4
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.753
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
23-05-17, 13:31 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #5I found big Silicon Valley companies such as Box and Yahoo! were using two-year old versions of ImageMagick.
Απίστευτοι, να πεις πως είναι κανένα νεκρό project.
http://www.imagemagick.org/script/changelog.php
-
23-05-17, 13:33 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #6
Με όλα αυτά, απορώ πως εξακολουθεί και έχει χρήστες. Θα μου πείτε είναι πολλοί αυτοί που δεν ενημερώνονται, και πολλοί αυτοί που και να ενημερωθούν θα τα γράψουν στα παλαιότερα...
-
23-05-17, 13:37 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #7
- Εγγραφή
- 29-05-2007
- Περιοχή
- δυο κλικ πιο κατω
- Ηλικία
- 48
- Μηνύματα
- 7.630
- Downloads
- 38
- Uploads
- 0
- Άρθρα
- 21
- Τύπος
- VDSL2
- Ταχύτητα
- 5000/1200
- ISP
- βρωμονταφον
- Router
- της hol
- SNR / Attn
- 8(dB) / 29(dB)
- Path Level
- Fastpath
δεν την πηρε η aol την yahoo προσφατα ;
αν ειναι ετσι , σιγα μην τους ενοιαζαν τετοιες λεπτομεριες , φτιαξανε ενα πιο ντιζαινατο interface (και δυσλειτουργικο ) για συσκευασια στο πακετο του νεου ιδιοκτητη και αντε γεια .αντεχεις να αμφιβαλεις για ολα οσα εχεις διδαχτει ;
Cancel my subscription to the Resurrection. Send my credentials to the House of Detention
ο φασισμος ειναι ο νομος των δουλων
AV tip:να ακολουθεις αυτο που ψαχνεις , οχι αυτο που σε βρισκει .
-
23-05-17, 13:59 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #8
-
23-05-17, 14:28 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #9
Τελευταία επεξεργασία από το μέλος dimitri_ns : 23-05-17 στις 14:38.
" Ούτε λαχανικά δεν θα φόρτωνα. "
----
No fm radio ?
No headphone jack ?
Sorry no phone.
-
23-05-17, 15:41 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #10
Η ανικανότητα δεν είναι μόνο των system admin! Μπορεί οι ίδιες οι διαδικασίες της yahoo! να έκαναν το patchαρισμα πολύ δύσκολο! Μην ξεχνάτε ότι πρόκειται για μία υπηρεσία με εκατομμύρια χρήστες που δεν θέλουν να σταματήσει να δουλεύει! Αν οι διαδικασίες ελέγχου του patch το έκαναν υπερβολικό και δεν είχε επικοινωνηθεί σωστά η κρισιμότητά του, είναι λογικό να μην το είχαν βάλει αμέσως, αλλά να περίμεναν και κάτι άλλο για να μπει μαζί!
-
23-05-17, 16:30 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #11
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Όποιος είναι έξω από τον χορό, πολλά τραγούδια ξέρει.
Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
23-05-17, 21:06 Re: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #12
Η YAHOO! μόνο και μόνο που είναι η YAHOO! ποτέ δεν πεθαίνει, υπάρχει κόσμος (συνήθως senior citizens) που δεν πάνε αλλού ακόμα και να τους δέσεις με σκοινί και να τους τραβάς.
Οτι έχει καταντήσει μπάτε σκύλοι αλέστε το ξέρουμε, 1-2 φορές το μήνα γίνεται ρεζίλι στα πρωτοσέλιδα.
Εχει αγορασθεί πρόσφατα, ας ελπίσουμε ότι θα συνελθει αλλιώς να γίνει community project κλπ.
Για τον Μάη ξοφλήσαμε, επόμενες κακές ειδήσεις για την πολυαγαπημένη μαςομάδαyahoo! στο πρώτο δεκαπενθήμερο του Ιουνίου.
Αυτά για την ώρα και βλέπουμε.
-
23-05-17, 21:19 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #13
-
23-05-17, 21:27 Απάντηση: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #14
Όπως το είπες. Λες και το πρόβλημα είναι πως οι admins της Yahoo δεν ξέρουν να χρησιμοποιούν το apt-get.
Η υπόθεση του ImageMagick είναι αρκετά πιο περίπλοκη. Το bug βρέθηκε (από τους "καλούς", γιατί οι "κακοί" φαίνεται πως το γνώριζαν ήδη) πριν 1 χρόνο και δόθηκε σχεδόν άμεσα στη δημοσιότητα, πριν προλάβει να βγει patch. Ακόμα και όταν βγήκε το patch, δεν ήταν πλήρες, όπως αποδείχθηκε αργότερα. Αυτό είχε ως αποτέλεσμα για πολύ καιρό το ImageMagick να είναι εκτεθειμένο και μόνο με "workarounds" να μπορεί να αντιμετωπιστεί το πρόβλημα. Έτσι πάρα πολλές εταιρείες βρέθηκαν εκτεθειμένες και όχι μόνο η Yahoo, όπως π.χ. το Facebook:
https://www.computerworld.com.au/art...-facebook-40k/
Για να πω την αλήθεια, δεν ξέρω καν αν είναι ακόμα και τώρα ασφαλές το ImageMagick. Το άρθρο λέει πως ένα από τα 2 vulnerabilities που βρέθηκαν στη Yahoo ήταν καινούργιο. Εμείς πάντως ακόμα δεν έχουμε αφαιρέσει τα προαναφερθέντα "workarounds" από τους servers μας.
-
23-05-17, 22:56 Re: Yahoobleed: ευπάθειες του ImageMagick που απέτυχε να πατσάρει η Yahoo διέρρεαν δεδομένα για χρόνια #15
για να μαθαίνω και γω, η ImageMagick τι σχέση έχει με e-mail και pop?
Για όσους δεν κατάλαβαν υπαινίσσομαι ότι αν κάτι δεν ειναι ασφαλές τότε να το αποσυνδέουν προσωρινά, πχ για 1 ώρα, μέρα, μήνα ή 10ετία μέχρι να το φτιάξουν.Τελευταία επεξεργασία από το μέλος eyw : 23-05-17 στις 23:12.
Παρόμοια Θέματα
-
Restart του pc που είναι εγκατεστημένο το Elastix μέσω τηλεφώνου
Από dimangelid στο φόρουμ Voice over IP (VoIP) SoftwareΜηνύματα: 45Τελευταίο Μήνυμα: 05-04-19, 16:27 -
Το Μόναχο σκέφτεται να επιστρέψει στα Windows μετά από δέκα χρόνια χρήσης Linux
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 170Τελευταίο Μήνυμα: 05-03-17, 23:34 -
Η Microsoft αναμένεται να λάβει έγκριση από την ΕΕ για την εξαγορά του LinkedIn
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 2Τελευταίο Μήνυμα: 24-11-16, 17:55 -
Η Yahoo σκάναρε τα emails όλων των χρηστών της, μετά από απαίτηση των αρχών ασφαλείας των ΗΠΑ
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 31Τελευταίο Μήνυμα: 10-10-16, 13:36
Bookmarks