YahooMail有重大XSS漏洞，打开邮件就会受骇

来自芬兰资安业者Klikki Oy的安全研究人员Jouko Pynnönen上周指出，Yahoo已于近日修补了他所提报的一个位于Yahoo Mail的重大漏洞，使用者只要开启由骇客寄来的邮件，不需任何互动，就会被骇。

Pynnönen攻陷的是撰写邮件时的附加连结功能，他发现Yahoo的过滤机制无法有效封锁含有恶意程式的附加连结。这是一个跨站指令码（Cross-site Scripting）安全漏洞，使用者只要开启含有恶意程式的邮件，完全无需点选连结或开启档案，就会被感染。

成功攻击该漏洞将允许骇客存取受害者的信箱，窃取讯息，甚至还能散播用来感染其他Yahoo Mail用户的病毒。

其实在去年12月，Pynnönen便曾揭露Yahoo Mail中另一个类似的安全漏洞，他说，他并没有期待会再度于该服务的HTML过滤机制中找到漏洞。

Pynnönen是在今年11月12日将该漏洞提报给Yahoo，并获得Yahoo抓漏专案HackerOne所颁发的1万美元奖金，Yahoo则于11月29日修补了该漏洞。

流年不利的Yahoo今年9月才坦承在2014年遭到骇客入侵，并有5亿用户账号遭窃，另也传出Yahoo在美国政府的要求下安装了骇客工具来监控使用者，都让Yahoo声誉大受打击。