Yahoo Mail有重大XSS漏洞，打開郵件就會受駭

jis2577

被發現的重大漏洞為Yahoo郵件的附加連結功能，由於缺乏過濾機制予以封鎖，駭客可寄送含有惡意程式的郵件，被害者沒有點選連結或開啟檔案就會被感染，Yahoo已接到通報並於11月底修補該漏洞。

來自芬蘭資安業者Klikki Oy的安全研究人員Jouko Pynnönen上周指出，Yahoo已於近日修補了他所提報的一個位於Yahoo Mail的重大漏洞，使用者只要開啟由駭客寄來的郵件，不需任何互動，就會被駭。
Pynnönen攻陷的是撰寫郵件時的附加連結功能，他發現Yahoo的過濾機制無法有效封鎖含有惡意程式的附加連結。這是一個跨站指令碼（Cross-site Scripting）安全漏洞，使用者只要開啟含有惡意程式的郵件，完全無需點選連結或開啟檔案，就會被感染。
成功攻擊該漏洞將允許駭客存取受害者的信箱，竊取訊息，甚至還能散播用來感染其他Yahoo Mail用戶的病毒。
其實在去年12月，Pynnönen便曾揭露Yahoo Mail中另一個類似的安全漏洞，他說，他並沒有期待會再度於該服務的HTML過濾機制中找到漏洞。
Pynnönen是在今年11月12日將該漏洞提報給Yahoo，並獲得Yahoo抓漏專案HackerOne所頒發的1萬美元獎金，Yahoo則於11月29日修補了該漏洞。
流年不利的Yahoo今年9月才坦承在2014年遭到駭客入侵，並有5億用戶帳號遭竊，另也傳出Yahoo在美國政府的要求下安裝了駭客工具來監控使用者，都讓Yahoo聲譽大受打擊。