Ο ερευνητής ασφάλειας Ebrahim Hegazy, εντόπισε μια ευπάθεια που επιτρέπει την εισαγωγή απομακρυσμένου κώδικα, η οποία επηρεάζει αρκετά domains της Yahoo, Orange, η Microsoft και πιθανόν και άλλων. Ευτυχώς, το κενό ασφάλειας έχει καθοριστεί.
Ο εμπειρογνώμονας ανακάλυψε το σφάλμα, ενώ ανέλυε ένα subdomain της Yahoo στο Μεξικό, mx.horoscopo.yahoo.net. Εδώ, εντόπισε έναν διαχειριστικό πίνακα που θα μπορούσε να προσεγγιστεί χωρίς διαπιστευτήρια σύνδεσης. Ο ερευνητής αποκαλεί αυτό σφάλμα «μη εξουσιοδοτημένη πρόσβαση Διαχειριστή» ή «Indirect Object Reference».
Από αυτόν τον πίνακα, ο Hegazy κατάφερε να ανεβάσει το δικό του αρχείο aspx στο διακομιστή. Το αρχείο μπορεί να περιέχει κώδικα που θα επιτρέψει σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα. Ωστόσο, το αρχείο που φορτώθηκε για τους σκοπούς της έρευνας περιείχε μόνο μια απλή σειρά χαρακτήρων.
Αφού αναγνώρισε την ευπάθεια, προσπάθησε να αποφασίσει αν τα άλλα domains της Yahoo επηρεάστηκαν. Προς μεγάλη του έκπληξη, ανακάλυψε ότι δεν είχαν επηρεαστεί μόνο subdomains της Yahoo, αλλά και του MSN και της γαλλικής εταιρείας τηλεπικοινωνιών της Microsoft, Orange.
Δείτε το βίντεο που ακολουθεί: