Een beveiligingslek in de infrastructuur van Yahoo zou het voor aanvallers mogelijk hebben gemaakt om fotobijlagen van gebruikers die op de servers van Yahoo stonden te stelen. Yahoobleed, zoals de aanval wordt genoemd, maakt gebruik van een beveiligingslek in ImageMagick.
ImageMagick is een populaire softwarebibliotheek om afbeeldingen mee te verwerken en wordt door een groot aantal websites gebruikt, waaronder Yahoo. Via de kwetsbaarheid kon beveiligingsonderzoeker Chris Evans bepaald geheugen van de Yahoo-servers uitlezen waarin zich afbeeldingen konden bevinden die als e-mailbijlage waren verstuurd. De onderzoeker vergelijkt het dan ook met andere "bleed-aanvallen", zoals Heartbleed en Cloudbleed. Deze aanvallen maakten echter geen gebruik van niet geinitialiseerd geheugen, terwijl Yahoo-bleed dit wel doet, aldus Evans.
De onderzoeker werkt tegenwoordig voor zichzelf, maar was in het verleden bij Google het hoofd van het Chrome Security Team en leidde ook het Project Zero Team. In 2015 stapte hij over naar Tesla, maar is daar inmiddels weer vertrokken. Hij waarschuwde zowel ImageMagick als Yahoo. De kwetsbaarheid is inmiddels gepatcht, maar de internetgigant besloot als oplossing om de softwarebibliotheek in zijn geheel te verwijderen. Daarnaast ontving Evans van Yahoo een beloning van 14.000 dollar. Aangezien hij het bedrag aan een goed doel doneert besloot Yahoo het bedrag te verdubbelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.