雅虎刚刚修复了一个可被攻击者用于劫持账户的邮箱漏洞，而此前，他们竟然可以在量身定制的邮件消息中嵌入恶意的JavaScript代码。该漏洞的可怕之处在于，即使用户只是阅读消息，代码也会被执行，然后攻击者就能够完全攻破受害者的账户、劫持设置，甚至在没有许可或不被察觉的情况下发送邮件。

这个bug在1月早些时候被修复，距离其通过HackerOne漏洞奖励计划被告知该安全问题后不久。

私下里向这家总部位于加州桑尼韦尔的公司披露详情的研究人员Jouko Pynnönen，被给予了1万美元的奖励。

Yahoo Mail stored XSS

Pynnönen表示，该漏洞在影响任何现实用户前就已被修复，问题在于雅虎是如何过滤邮件中的HTML格式的。

尽管该公司意欲借此阻止恶意代码被放入用户的收件箱，但该过滤器仍“漏过了个别恶意HTML代码格式”。

[编译自：Cnet]