Megaluka w Yahoo! Mail

W kliencie Zimbra wykorzystywanym przez internetową pocztę Yahoo! Mail wykryto fatalną lukę bezpieczeństwa. Wszystkie hasła przesyłane są przez sieć… w postaci niezaszyfrowanej.

Lukę wykrył Holden Karau, uczestnik Yahoo Hack Day, odbywającego się na Uniwersytecie Waterloo i opisał ją na swoim blogu. Serwery IMAP wykorzystywane przez Yahoo Desktop nie obsługują SSL i hasła przesyłane są przez sieć czystym tekstem.

To oznacza, że jeśli korzystasz z klienta Zimbra do czytania poczty Yahoo! Mail, powinieneś natychmiast zmienić hasło (o ile ktoś już nie zrobił tego za ciebie) i przestać wykorzystywać Zimbrę do czasu załatania luki. Dalsze korzystanie z niezałatanej Zimbry, szczególnie jeśli robisz to przez WiFi, może narazić cię na utratę dostępu do swojej skrzynki pocztowej.

Karau twierdzi, że poinformował Yahoo! o tym problemie podczas swojej prezentacji, ale nikt się tym zbytnio nie przejął. Rzecznik Zimbry potwierdził, że luka rzeczywiście występuje, a łatka jest już gotowa i będzie częścią kolejnego wydania oprogramowania. Po tym jak sprawa wyszła na jaw publicznie, również Yahoo zapowiedziało zajęcie się sprawą.

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

16 odpowiedzi na „Megaluka w Yahoo! Mail”
  1. Awatar http://Tadzik.openid
    http://Tadzik.openid

    Dlaczego akurat z zimbry? Ma to jakieś znaczenie?

    1. Awatar michuk
      michuk

      Pewnie dlatego, że Yahoo! Zimbra Desktop to oficjalnie polecany klient IMAP dla Yahoo! Mail. Nie wiem czy inne klienty (jak Thunderbird) mają ten sam problem. Może Yahoo! Mail można na desktopie czytać tylko przez ten cały Zimbra Desktop?

      1. Awatar D3X
        D3X

        Nie wiem dlaczego inny klient mialby nie miec tych problemow, skoro to serwery IMAP nie korzystaja z szyfrowania…

        1. Awatar jellonek
          jellonek

          słuszna uwaga…

    2. Awatar szatox (ktoś)
      szatox (ktoś)

      nie ma

  2. Awatar bies
    bies

    Litości, ludzie używający Yahoo! nie dostrzegliby bezpieczeństwa nawet gdyby ono zasadziło im solidnego kopa w…. Więc właściwie żadna rewelacja.

  3. Awatar Slomek
    Slomek

    Taaa, user yahoo i ssl xD Jasne, jak ja i balet 😛

  4. Awatar szogoon
    szogoon

    "W kliencie Zimbra wykorzystywanym przez internetową pocztę Yahoo! Mail wykryto fatalną lukę bezpieczeństwa"
    a następnie "Serwery IMAP wykorzystywane przez Yahoo Desktop nie obsługują SSL"

    dla mnie news się kupy nie trzyma

    to albo zawinił serwer IMAP, albo klient, zresztą co za problem tunelować IMAP przez stunnel ?

    1. Awatar jellonek
      jellonek

      taaa? to jak tego stunnela postawisz po stronie serwerow yahoo mail?
      co do poczatku sie zgodze.

      1. Awatar szogoon
        szogoon

        a czy ja powiedziałem, że to klient ma stawiać stunnel ? i może jeszcze klient sam ma "skombinować" certyfikat ? 😉

  5. Awatar dna
    dna

    Wygląda mi to nie na problem z bezpieczeństwem, lecz świadomy element projektu.
    Telnet też ma nie szyfrowane hasło i czy to oznacza, że ma problem z bezpieczeństwem ?

    Przyznaje, że lepiej gdyby hasło było szyfrowane, ale z drugiej strony bezpieczeństwo szyfrowanych jednostronnym certyfikatem haseł jest co najmniej przesadzone. W obydwu przypadkach z szyfrowaniem i bez, jeśli się chce, to można podsłuchać. Jedyna różnica, że w przypadku szyfrowania, trzeba podsłuchiwać transmisję od samego początku…

    1. Awatar Krolik
      Krolik

      To ciekawe, co piszesz – a mógłbyś rozwinąć?
      Bo niby co Ci da podsłuchanie klucza publicznego serwera (który i tak jest publiczny i nie trzeba podsłuchiwać), skoro nie masz klucza prywatnego, aby odszyfrować transmisję? Klucz prywatny nie opuszcza serwera, więc żadne podsłuchiwanie nic nie da.

      Może miałeś na myśli przejęcie transmisji i podesłanie klientowi fałszywego, własnego certyfikatu? Wtedy – zgoda. Większość userów i tak ignoruje komunikaty o samopodpisanym/przedawnionym certyfikacie.

    2. Awatar szogoon
      szogoon

      Kolega chyba nie rozumie szyfrowania asymetrycznego 🙂

      1. Awatar dna
        dna

        @szogoon – potencjalnie już odpowiedziałem Ci poniżej, gdyż myślałem, że pisząc kolega – piszesz o mnie, tzn. że ja nie rozumiem szyfrowania. Jeśli tak to moja odpowiedź poniżej jest istotna. Jeśli użyłeś słowo "kolega" w stosunku do "Królika" – potencjalnie powinieneś kliknąć wtedy na "odpowiedz na ten komentarz" – to zgadzam się z Twoją wypowiedzią…

        Cała sprawa polega na certyfikacie po stronie klienta. Certyfikat tylko po stronie serwera daje tylko złudne poczucie braku możliwości podsłuchiwania. W rzeczywistości umożliwia tylko weryfikacje, że nikt nie podpiął się pod sesję…

    3. Awatar dna
      dna

      @Królik rozwinięcie poniżej. Klucza prywatnego, czyjego ? Piszę o szyfrowaniu jednostronnym czyli np. gdy serwer ma certyfikat (klucz prywatny + publiczny) a klient nie ma własnego tylko publiczny serwera.

      @szogoon odpowiem tak: vice versa czyli "a wzajemnie"

      Jeszcze raz – sesja szyfrowana dwustronnymi certyfikatami jest nie do podsłuchania. Sesja szyfrowana certyfikatem po jednej stronie – bez problemu można taką sesję podsłuchiwać pod warunkiem słuchania komunikacji od początku i słuchania obydwu stron komunikacji np. ruterze.
      Nie można przejąć tej sesji niezauważalnie, ale podsłuchać owszem.

      ps. poproszę o jeszcze kilka minusów ;-). Dawno już żadnych nie dostałem.

    4. Awatar dna
      dna

      no dobra myliłem się… Można podsłuchiwać, ale tylko w pewnych warunkach, które za bardzo uogólniłem. 😉
      Z mojej strony EOT

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *