資安專家：Yahoo信箱服務XSS攻擊漏洞沒補好

雖然雅虎在周一（1/7）宣稱已經修復信箱服務的漏洞，但暱稱為Abysssec的研究人員Shahin Ramezany指出，雅虎沒有修好漏洞，使用者仍可能遭受跨站指令碼（Cross-site Scripting，XSS）攻擊。

據媒體報導，早在去年11月就出現埃及駭客TheHell以700美元在網路黑市兜售攻擊Yahoo信箱的工具，但雅虎在12月對四種信箱服務升級改版，因此無法確認兜售的漏洞是否與本月出現的攻擊有關。

上週日（1/6）傳出許多雅虎信箱遭駭客入侵的消息，遭入侵的信箱會傳送含有惡意連結的信件給其他人。雅虎周一對外承認該漏洞問題，宣稱已經修補漏洞，

不過研究人員Shahin Ramezany不認同雅虎的說法，並公布攻擊範例影片，影片中受害者僅點擊信件中的連結，駭客就可以取得受害者的cookie等資料，控制受害者信箱。該影片與埃及駭客TheHell公布的影片內容極為相似。

為避免信箱遭駭客夾持，Offensive Security建議使用者不要任意點擊信件中的連結，並認為該漏洞的特性，讓XSS防護工具僅有些許的功效。

雅虎在去年七月因資料隱碼攻擊（SQL injection）導致45萬筆Yahoo Voice帳號與密碼外洩，當時攻擊的組織D33D宣生雅虎的伺服器中有諸多漏洞，該組織可以製造更大的災難。

雅虎的信箱服務約有3億使用者，規模僅次於Google及微軟，為了提高網頁信箱安全，雅虎還在1/8開始提供https加密連線，不過使用者必須手動開啟該項安全設定。（編譯/沈經）