Lamentablemente la compañía vuelve a ser noticia por un nuevo fallo de seguridad detectado. En esta ocasión, un número no determinado de servicios de Yahoo! está afectado por un problema de seguridad que permite a una tercera persona borrar comentarios de los hilos o noticias de dicho servicio.
A pesar de no poderse concretar qué servicios de la compañía están afectados por el fallo de seguridad, de momento sí que se ha confirmado que Yahoo! News , Yahoo! Sports , Yahoo! TV , Yahoo! Music , Yahoo! Weather, Yahoo! Celebrity o Yahoo! Voices son algunos de los servicios que están afectados por dicha vulnerabilidad. Desde Yahoo! ya están informados de este fallo de seguridad pero de momento aún no se ha obtenido ningún tipo de respuesta por parte de la compañía.
En esta ocasión ha sido Ahmed Aboul-Ela, un investigador de temas de seguridad de origen egipcio, el encargado de descubrir esta vulnerabilidad.
Cómo se puede hacer uso de la vulnerabilidad en los servicios de Yahoo!
El investigador se ha encargado de grabar un vídeo en el que se puede ver la forma de aprovechar este fallo de seguridad y así borrar los comentarios de otros usuarios. El fallo de seguridad se encuentra asociado a la función POST de la página de posteo o edición de mensajes. Esta función se utiliza para pasar parámetros al servidor y que este sea capaz de ejecutar las acciones sobre un comentario, el cual se especifica mediante un ID. Si en lugar de poner el ID de nuestro mensaje ponemos el de otro usuario, el resultado será que al acción se aplicará sobre el del usuario, pudiendo incluso llegar a borra el mismo.
También hay que decir que únicamente funciona esto en el caso de que hayamos sido los primeros en postear sobre ese hilo o noticia, ya que sino esto no funcionará.
A pesar de todo se espera que durante las próximas horas se resuelva el problema de seguridad.
Fuente | The Hacker News