雅虎电邮存在脚本错误 用户恐受到钓鱼攻击

雅虎已经修正了其免费Web 电子邮件服务中的一个安全缺陷，该缺陷为钓鱼式攻击、帐户挟持等其它攻击打开了大门。

据SEC 咨询公司称，存在该跨站点脚本缺陷的原因是，雅虎的网站无法发现带有一些特殊字符的脚本标志。SEC 咨询公司在上周五发布了有关该缺陷的报告。

跨站点脚本缺陷是一种常见缺陷。最近Google的网站也被发现存在这类缺陷；今年早些时候，微软的Xbox 360网站上也发现了这类缺陷。

雅虎的网站上也出现了缺陷。黑客可以利用该缺陷挟持用户的帐户、发动以窃取资料为目的的钓鱼式攻击，甚至在用户的计算机上下载恶意代码。雅虎的一名代表称，他们已经在“最近数周内”修正了大多数的缺陷，用户的安全是有保证的。

雅虎的女发言人卡伦说，我们最近得知“雅虎邮”中存在问题，并立即开始在服务器端安装补丁软件，用户无需采取任何措施。我们不知道有任何用户受到了这一问题的影响。