雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞,而此前,他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于,即使用户只是阅读消息,代码也会被执行,然后攻击者就能够完全攻破受害者的账户、劫持设置,甚至在没有许可或不被察觉的情况下发送邮件。
这个bug在1月早些时候被修复,距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。
私下里向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynnönen,被给予了1万美元的奖励。
Yahoo Mail stored XSS
Pynnönen表示,该漏洞在影响任何现实用户前就已被修复,问题在于雅虎是如何过滤邮件中的HTML格式的。
尽管该公司意欲借此阻止恶意代码被放入用户的收件箱,但该过滤器仍“漏过了个别恶意HTML代码格式”。
[编译自:Cnet]
未经允许不得转载:陈丹的博客 » [视频]雅虎修复邮件服务大漏洞:研究者获10000美金奖励