Yahoo Mail有重大XSS漏洞，打開郵件就會受駭

來自芬蘭資安業者Klikki Oy的安全研究人員Jouko Pynnönen上周指出，Yahoo已於近日修補了他所提報的一個位於Yahoo Mail的重大漏洞，使用者只要開啟由駭客寄來的郵件，不需任何互動，就會被駭。

Pynnönen攻陷的是撰寫郵件時的附加連結功能，他發現Yahoo的過濾機制無法有效封鎖含有惡意程式的附加連結。這是一個跨站指令碼（Cross-site Scripting）安全漏洞，使用者只要開啟含有惡意程式的郵件，完全無需點選連結或開啟檔案，就會被感染。

成功攻擊該漏洞將允許駭客存取受害者的信箱，竊取訊息，甚至還能散播用來感染其他Yahoo Mail用戶的病毒。

其實在去年12月，Pynnönen便曾揭露Yahoo Mail中另一個類似的安全漏洞，他說，他並沒有期待會再度於該服務的HTML過濾機制中找到漏洞。

Pynnönen是在今年11月12日將該漏洞提報給Yahoo，並獲得Yahoo抓漏專案HackerOne所頒發的1萬美元獎金，Yahoo則於11月29日修補了該漏洞。

流年不利的Yahoo今年9月才坦承在2014年遭到駭客入侵，並有5億用戶帳號遭竊，另也傳出Yahoo在美國政府的要求下安裝了駭客工具來監控使用者，都讓Yahoo聲譽大受打擊。