雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。
这个bug在1月早些时候被修复,距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。
私下里向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynn nen,被给予了1万美元的奖励。
Yahoo Mail stored XSS
Pynn nen表示,该漏洞在影响任何现实用户前就已被修复,问题在于雅虎是如何过滤邮件中的HTML格式的。
尽管该公司意欲借此阻止恶意代码被放入用户的收件箱,但该过滤器仍“漏过了个别恶意HTML代码格式”。
本文转自d1net(转载)
