Yahoo Mail: dati degli utenti esposti per mancata installazione di una patch

Per molto tempo il servizio Yahoo Mail ha esposto numerosi dati sensibili degli utenti perché ha mancato di aggiornare un software di elaborazione delle immagini largamente utilizzato che conteneva vulneabilità critiche. Questo è quanto affermato da un ricercatore di sicurezza che ha avvertito che altri servizi popolari potrebbero essere suscettibili alla fuga di informazioni riservate dei propri utenti.

Chris Evans, ricercatore che ha scoperto le vulnerabilità e le ha condivise privatamente con gli ingegneri Yahoo, le ha chiamate "Yahoobleed" perché hanno causato una vera e propria emorragia di contenuti conservati nella memoria dei server alla base del servizio.

Le vulnerabilità sono state anche piuttosto semplici da sfruttare e sono state individuate in ImageMagick, una libreria di elaborazione immagini supportata da PHP, Ruby, NodeJS, Python e un altra manciata di linguaggi di programmazione. Una versione di Yhoobleed è stato il risultato della mancata installazione di una patch critica rilasciata a gennaio del 2015, mentre una seconda versone è frutto di un bug che gli sviluppatori di ImageMagik hanno risolto solo di recente dopo aver ricevuto una sengalazione privata da parte di Evans.

La vulnerabilità scoperta dal ricercatore può essere sfruttata inviando un'email contenente un file di immagine opportunamente manipolato ad un indirizzo Yahoo Mail. Dopo l'apertura del file, frammenti della memoria del server Yahoo iniziano a filtrare verso l'attaccante. Evans ha chiamato questa vulnerabilità "Yahoobleed1", mentre "Yahoobleed2" funzionava sfruttando le vulnerabilità risolte a gennaio 2015. Assieme le due falle hanno permesso agli attaccanti di ottenere cookie, token di autenticazione e allegati privati appartenenti agli utenti di Yahoo Mail.

Dopo la segnalazione di Evans, Yahoo ha deciso di eliminare completamente l'uso della libreria. Il ricercatore osserva che nell'ultimo anno e mezzo ImageMagik ha mostrato varie vulnerabilità critiche, minacciando la sicurezza di vari servizi online tra cui anche Facebook. Secondo il ricercatore altri vari servizi sono ancora vulnerabili.