my history up until being nys emt 1998,(preceded by my run through of emergency room today)
目次:
- 同じ発信元ポリシーは通常、ドメインごとに施行されます。たとえば、ユーザーが同じブラウザで同時に両方のウェブサイトにログインしている場合でも、google.comはyahoo.comのセッションCookieにアクセスできません。ただし、Cookieの設定によっては、サブドメインが親ドメインによって設定されたセッションCookieにアクセスする可能性があります。
- "ヤフーはセキュリティとユーザーのデータを取っている真剣に、 "Yahooの代理人は電子メールで言った。 「最近、外部のセキュリティ会社の脆弱性を知り、脆弱性を修正したことを確認します。パスワードを文字、数字、記号を組み合わせた強力なパスワードに変更することをお勧めします。彼らのアカウント設定。 "
最近発見された電子メール攻撃の背後にあるハッカーは、ヤフーのウェブサイトの脆弱性を利用してヤフーのユーザーの電子メールアカウントをハイジャックし、ウイルス対策ベンダーのBitdefenderのセキュリティ研究者によると、この攻撃は迷惑メールのために使用されています。
攻撃は、件名にスパムメールが送信され、短い「check this page」メッセージの後にbitlyly shortenedリンク。このリンクをクリックすると、MSNBCのニュースサイトに偽装されたウェブサイトに誘導され、自宅で仕事をしている間にお金を稼ぐ方法についての記事が掲載されていると、Bitdefenderの研究者は水曜日にブログ記事で述べている。他の職場からの詐欺サイトから。しかし、バックグラウンドでは、JavaScriptコードの一部が、訪問者のYahooセッションCookieを盗むために、Yahoo Developer Network(YDN)のブログサイトのクロスサイトスクリプティング(XSS)脆弱性を悪用しています。 Windows PCからマルウェアを削除する]
動作原理
セッションCookieは、ログアウトしたユーザーをログアウトするまで覚えておくため、ブラウザ内のWebサイトに保存される一意の文字列です。 Webブラウザは、同じ出所ポリシーと呼ばれるセキュリティメカニズムを使用して、異なるタブで開かれたWebサイトがセッションCookieなどのリソースにアクセスするのを防ぎます。同じ発信元ポリシーは通常、ドメインごとに施行されます。たとえば、ユーザーが同じブラウザで同時に両方のウェブサイトにログインしている場合でも、google.comはyahoo.comのセッションCookieにアクセスできません。ただし、Cookieの設定によっては、サブドメインが親ドメインによって設定されたセッションCookieにアクセスする可能性があります。
Yahooの場合、developer.yahooを含むYahooのサブドメインにかかわらずログインしたままです。 MSNBCの偽のウェブサイトからロードされた不正なJavaScriptコードは、訪問者のブラウザがdeveloper.yahoo.comにXSSの脆弱性を悪用する特別に細工されたURLを呼び出すように強制し、developer.yahooのコンテキストで追加のJavaScriptコードを実行します。 comサブドメイン。
この追加のJavaScriptコードは、YahooユーザーのセッションCookieを読み取り、攻撃者が制御するWebサイトにアップロードします。 Cookieを使用して、ユーザーの電子メールアカウントにアクセスし、すべての連絡先にスパムメールを送信します。 XSSの脆弱性は実際にはSWFUploadと呼ばれるWordPressコンポーネントに存在し、2012年4月にリリースされたWordPressバージョン3.3.2で修正されました。 Bitdefenderの研究者は言った。しかし、YDNブログのサイトでは、WordPressの古いバージョンが使われているようだ。
問題を回避する方法
水曜日の攻撃を発見した後、Bitdefenderの研究者は同社のスパムデータベースを検索し、 Bitdefenderの上級電子脅威アナリスト、Bogdan Botezatuは、電子メールで木曜日に報告した。
"このような攻撃の成功率は、センサーネットワークでは見られないため、前記。しかし、我々は過去1ヶ月間に処理した迷惑メールの約1%がこの事件の原因であると推測している」と述べた。Bitdefenderはこの脆弱性をYahooに報告したが、木曜日にはまだ悪用されているようだ。
ヤフーの声明によると、ヤフーは、この脆弱性にパッチを当てたと述べている。
"ヤフーはセキュリティとユーザーのデータを取っている真剣に、 "Yahooの代理人は電子メールで言った。 「最近、外部のセキュリティ会社の脆弱性を知り、脆弱性を修正したことを確認します。パスワードを文字、数字、記号を組み合わせた強力なパスワードに変更することをお勧めします。彼らのアカウント設定。 "
Botezatuは、特にbit.lyで短縮された場合、電子メールで受信したリンクをクリックしないようにユーザーに指示しました。このような攻撃では、リンクが悪意のあるものであるかどうかを判断することは難しいかもしれません。この場合、メッセージはユーザーが知っていた - 連絡先リストにある - 悪意のあるサイト尊敬できるMSNBCのポータルのように見えるように細工されたと彼は言った。ボテザトゥ氏は、電子メールで受信したリンクをクリックしないように、特にbit.lyで短縮されていると、ユーザにアドバイスしました。
この場合、メッセージはユーザーが知っていた - 発信者が連絡先リストにあった - 悪意のあるサイトがうまくいたから来ています巧みなMSNBCポータルのように作られている、と彼は言った。 「これは非常に成功すると予想される攻撃の一種です。」
Yahooのコメントで1/31/2013を更新