示意圖,與新聞事件無關。

圖片來源: 

Yahoo

來自芬蘭資安業者Klikki Oy的安全研究人員Jouko Pynnönen上周指出,Yahoo已於近日修補了他所提報的一個位於Yahoo Mail的重大漏洞,使用者只要開啟由駭客寄來的郵件,不需任何互動,就會被駭。

Pynnönen攻陷的是撰寫郵件時的附加連結功能,他發現Yahoo的過濾機制無法有效封鎖含有惡意程式的附加連結。這是一個跨站指令碼(Cross-site Scripting)安全漏洞,使用者只要開啟含有惡意程式的郵件,完全無需點選連結或開啟檔案,就會被感染。

成功攻擊該漏洞將允許駭客存取受害者的信箱,竊取訊息,甚至還能散播用來感染其他Yahoo Mail用戶的病毒。

其實在去年12月,Pynnönen便曾揭露Yahoo Mail中另一個類似的安全漏洞,他說,他並沒有期待會再度於該服務的HTML過濾機制中找到漏洞。

Pynnönen是在今年11月12日將該漏洞提報給Yahoo,並獲得Yahoo抓漏專案HackerOne所頒發的1萬美元獎金,Yahoo則於11月29日修補了該漏洞。

流年不利的Yahoo今年9月才坦承在2014年遭到駭客入侵,並有5億用戶帳號遭竊,另也傳出Yahoo在美國政府的要求下安裝了駭客工具來監控使用者,都讓Yahoo聲譽大受打擊。


Advertisement

更多 iThome相關內容