呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：Yahoo Mail 爆 Yahoobleed 漏洞，用戶郵件內容恐被看光光摘要：安全研究人員Chris Evans發現，Yahoo Mail中ImageMagick圖像處理函式庫內藏漏洞。研究人員展示了二項攻擊手法，一種只要在Yahoo Mail中寄送一個18 byte的惡意圖檔。當收件者點選信中圖片開啟預覽視窗時，Yahoo Mail伺服器的記憶體就開始洩露，他稱為Yahoobleed#1。第2種則是直接進行攻擊。上述的ImageMagick漏洞早在2015年1月就有修補程式，但Yahoo一直未能加以修補，直到接獲通報。Yahoo除了頒發抓漏獎金給研究人員，這次也決定直接停用ImageMagick。原始資料： https://scarybeastsecurity.blogspot.tw/2017/05/bleed-continues-18-byte-file-14k-bounty.html 引用來源： http://www.ithome.com.tw/news/114391 #592416442da5da4d69fae7a9

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：Yahoo Mail 爆 Yahoobleed 漏洞，用戶郵件內容恐被看光光摘要：安全研究人員Chris Evans發現，Yahoo Mail中ImageMagick圖像處理函式庫內藏漏洞。研究人員展示了二項攻擊手法，一種只要在Yahoo Mail中寄送一個18 byte的惡意圖檔。當收件者點選信中圖片開啟預覽視窗時，Yahoo Mail伺服器的記憶體就開始洩露，他稱為Yahoobleed#1。第2種則是直接進行攻擊。上述的ImageMagick漏洞早在2015年1月就有修補程式，但Yahoo一直未能加以修補，直到接獲通報。Yahoo除了頒發抓漏獎金給研究人員，這次也決定直接停用ImageMagick。原始資料： https://scarybeastsecurity.blogspot.tw/2017/05/bleed-continues-18-byte-file-14k-bounty.html 引用來源： http://www.ithome.com.tw/news/114391

at Tue, May 23, 2017 7:00 PM