原标题:Yahoo Mail爆Yahoobleed漏洞,用户邮件內容恐被看光光
示意图,与新闻事件无关。
上周Yahoo Mail中的ImageMagick软体遭爆一项存在2年的漏洞可能曝露用户邮件内容,Yahoo决定停用有问题的软体元件。?
安全研究人员Chris Evans发现,Yahoo Mail中ImageMagick图像处理函式库内藏漏洞。这批漏洞和先前造成网路重大灾难Heartbleed和Cloudbleed一样,会导致伺服器记忆体中的内容洩露,因为被研究人员称之为Yahoobleed。然而和之前的漏洞是经由越界(out-of-bound)读取记忆体不同,这次漏洞乃是使用未初始化(uninitiated)的记忆体,并不会造成伺服器当机,因而更难被察觉。不过幸好洩露的内容只限于记忆体堆积区(heap)区段中的内容。?
研究人员展示了二项攻击手法,一种只要在Yahoo Mail中寄送一个18 byte的恶意图档。当收件者点选信中图片开启预览视窗时,Yahoo Mail伺服器的记忆体就开始洩露,他称为Yahoobleed#1。第2种则是直接进行攻击。?
上述的ImageMagick漏洞早在2015年1月就有修补程式,但Yahoo一直未能加以修补,直到接获通报。Yahoo除了颁发抓漏奖金给研究人员,这次也决定直接停用ImageMagick。?
不过Yahoo停用的决定或许是更为正确。ImageMagick近来漏洞百出,去年即曾爆发远端攻击漏洞 ,威胁全球高达数百万网页伺服器,年初脸书也曾发现该项漏洞。
相关:
原标题:合肥电子围栏本周或上街:用户乱停放单车将一直计费——来源:中安在线中安在线讯据新安晚报报道,为了遏制共享单车停车乱象,多个共享单车企业都在街头建了停车点,希望规范停车。但记者探访发现,很多停放
凡是需要排队的地方,几乎都有‘黄牛’的身影,迪士尼也不例外!迪士尼黄牛泛滥,他们抓住快通证的漏洞,以及热门项目需要排长队的痛点,100元一人生意十分火爆。对此,上海迪士尼乐园已实行门票与快速通行证捆绑使用
共享单车迎来国家层面的监管政策。22日,交通部发布《关于鼓励和规范互联网租赁自行车发展的指导意见(征求意见稿)》,要求实行用户实名制注册、使用;企业对用户收取押金、预付资金的,应实施专款专用,接受监管,
【能耗双控管理作为节能审查主要内容之一】市发改委环资科22日发布消息称,最新出台的2017年版《湖北省固定资产投资项目节能审查实施办法》,明确把能耗双控管理要求等作为节能审查的主要内容之一,且节能审查不再作
中国留学生在美购枪遭控轻罪造假获狩猎证并非“恶意”违法申购枪支的法律漏洞曝光。美国中文网援引azcentral网消息称,美国联邦执法机构近日正在调查亚利桑那大学多名中国留学生涉嫌通过非法的居民狩猎执照,购买枪支