Yahoo Mail爆Yahoobleed漏洞用户邮件内容恐被看光光

示意图，与新闻事件无关。

上周Yahoo Mail中的ImageMagick软体遭爆一项存在2年的漏洞可能曝露用户邮件内容，Yahoo决定停用有问题的软体元件。 

安全研究人员Chris Evans发现，Yahoo Mail中ImageMagick图像处理函式库内藏漏洞。这批漏洞和先前造成网路重大灾难Heartbleed和Cloudbleed一样，会导致伺服器记忆体中的内容洩露，因为被研究人员称之为Yahoobleed。然而和之前的漏洞是经由越界（out-of-bound）读取记忆体不同，这次漏洞乃是使用未初始化（uninitiated）的记忆体，并不会造成伺服器当机，因而更难被察觉。不过幸好洩露的内容只限于记忆体堆积区（heap）区段中的内容。 

研究人员展示了二项攻击手法，一种只要在Yahoo Mail中寄送一个18 byte的恶意图档。当收件者点选信中图片开启预览视窗时，Yahoo Mail伺服器的记忆体就开始洩露，他称为Yahoobleed#1。第2种则是直接进行攻击。 

上述的ImageMagick漏洞早在2015年1月就有修补程式，但Yahoo一直未能加以修补，直到接获通报。Yahoo除了颁发抓漏奖金给研究人员，这次也决定直接停用ImageMagick。 

不过Yahoo停用的决定或许是更为正确。ImageMagick近来漏洞百出，去年即曾爆发远端攻击漏洞 ，威胁全球高达数百万网页伺服器，年初脸书也曾发现该项漏洞。