雅虎剛剛修復(fù)了一個可被攻擊者用于劫持賬戶的郵箱漏洞，而此前，他們竟然可以在量身定制的郵件消息中嵌入惡意的JavaScript代碼。該漏洞的可怕之處在于，即使用戶只是閱讀消息，代碼也會被執(zhí)行，然后攻擊者就能夠完全攻破受害者的賬戶、劫持設(shè)置，甚至在沒有許可或不被察覺的情況下發(fā)送郵件。

這個bug在1月早些時候被修復(fù)，距離其通過HackerOne漏洞獎勵計劃被告知該安全問題后不久。

私下里向這家總部位于加州桑尼韋爾的公司披露詳情的研究人員Jouko Pynn nen，被給予了1萬美元的獎勵。

Yahoo Mail stored XSS

Pynn nen表示，該漏洞在影響任何現(xiàn)實(shí)用戶前就已被修復(fù)，問題在于雅虎是如何過濾郵件中的HTML格式的。

盡管該公司意欲借此阻止惡意代碼被放入用戶的收件箱，但該過濾器仍“漏過了個別惡意HTML代碼格式”。