Yahoo Mail爆Yahoobleed漏洞，用戶郵件內容恐被看光光

上周Yahoo Mail中的ImageMagick軟體遭爆一項存在2年的漏洞可能曝露用戶郵件內容，Yahoo決定停用有問題的軟體元件。 

安全研究人員Chris Evans發現，Yahoo Mail中ImageMagick圖像處理函式庫內藏漏洞。這批漏洞和先前造成網路重大災難Heartbleed和Cloudbleed一樣，會導致伺服器記憶體中的內容洩露，因為被研究人員稱之為Yahoobleed。然而和之前的漏洞是經由越界（out-of-bound）讀取記憶體不同，這次漏洞乃是使用未初始化（uninitiated）的記憶體，並不會造成伺服器當機，因而更難被察覺。不過幸好洩露的內容只限於記憶體堆積區（heap）區段中的內容。 

研究人員展示了二項攻擊手法，一種只要在Yahoo Mail中寄送一個18 byte的惡意圖檔。當收件者點選信中圖片開啟預覽視窗時，Yahoo Mail伺服器的記憶體就開始洩露，他稱為Yahoobleed#1。第2種則是直接進行攻擊。 

上述的ImageMagick漏洞早在2015年1月就有修補程式，但Yahoo一直未能加以修補，直到接獲通報。Yahoo除了頒發抓漏獎金給研究人員，這次也決定直接停用ImageMagick。 

不過Yahoo停用的決定或許是更為正確。ImageMagick近來漏洞百出，去年即曾爆發遠端攻擊漏洞 ，威脅全球高達數百萬網頁伺服器，年初臉書也曾發現該項漏洞。