Yahoo! выпустила внеочередные обновления безопасности

Не так давно в продуктах компании Yahoo! были обнаружены опасные уязвимости приложений, с помощью которых потенциальные хакеры могли удаленно слить базу данных и взломать сервер. Речь идет об SQL-инъекции, обнаруженной исследователем безопасности из Египта Ибрагимом Хегази (Ebrahim Hegazy).

Как следует из личного блога эксперта, уязвимость размещалась на одном из доменов Yahoo! — innovationjockeys.net — и существовала из-за неверной обработки входных данных в параметре «f_id». С ее помощью эксперту удалось извлечь базу данных сервера, а уже в ней обнаружить зашифрованные логин и пароль для авторизации в административной панели.

Опасная брешь была устранена в течение первых суток после того, как Хегази связался с администраторами уязвимого домена. Вместе с тем, какой-либо премии исследователь не получит, поскольку упомянутый домен не входит в перечень web-сайтов Yahoo!, участвующих в программе выплаты вознаграждений.