雅虎已修复了其邮件服务中的一个漏洞，该漏洞可能导致黑客在披露并修复同一漏洞后将近一年，窃听用户电子邮件。 来自芬兰的Jouko Pynnonen因为披露了新漏洞而从雅虎获得了10, 000美元，该漏洞已由雅虎上个月修复。

该漏洞与跨站点脚本攻击有关，该攻击使攻击者有权阅读用户的电子邮件或创建病毒来感染Yahoo Mail帐户。 Pynnonen解释说，用户必须查看攻击者的电子邮件才能使错误起作用。

该错误类似于Pynnonen去年发现的一个古老的Yahoo Mail漏洞，该漏洞可能使黑客完全控制Yahoo Mail帐户。

雅虎过滤器的缺点

Pynnonen引用了Yahoo的HTML消息过滤器中的一个缺陷，将其作为最新漏洞的罪魁祸首。 该过滤器可阻止来自用户浏览器的恶意代码。 根据研究人员的说法，过滤器无法捕获所有恶意数据属性。 黑客仅通过向受害者发送自定义电子邮件即可执行恶意JavaScript。

研究人员发现了电子邮件撰写视图中的缺陷，其中各种附件选项引起他对基本HTML过滤中潜在错误的关注。 然后，Pynnonen创建了带有各种附件的电子邮件，并将该邮件发送到外部邮箱。 在检查电子邮件中包含的 原始 HTML时，一些恶意属性引起了他的注意。

“引起我注意的是data- * HTML属性。 首先，我意识到我去年为列举Yahoo过滤器所允许的HTML属性所做的努力并未抓住所有这些属性。”

Pynnonen认为可以嵌入通过Yahoo的HTML过滤器传递的几个HTML属性。 在撰写具有滥用data- *属性的电子邮件后，他最终发现了一个病理病例。

有报道称，至少有2亿个Mail帐户在暗网上销售，雅虎在今年早些时候遭到了抨击。

另请阅读：

• 如何使用Yahoo帐户登录Windows 10 Mail
• Windows 10的Yahoo Mail应用程序现在将联系人与Microsoft People同步