中华网络安全联盟    来源：eNet硅谷动力    时间：2006-8-19 11:30:47

　　近日，雅虎宣布修复了存在于雅虎邮箱系统的一个安全漏洞。这种漏洞可能导致黑客盗用用户帐号，以不同的形式损害用户利益。

　　雅虎发言人在邮件中称：“我们已开发出修复补丁，并在全球推出。雅虎用户无需采取任何措施防备这种漏洞。”

　　今年8月，以色列一安全公司研究人员Nir Goldshlager和Roni Bachar最早发现这种漏洞。这种问题是雅虎邮箱的附件引起的。通过不同的代码模式建立一个HTML附件，有人可以绕过雅虎安全过滤系统，执行恶意代码JavaScript等。

　　这种漏洞允许JavaScript代码执行打开漏洞指令，即使用户不打开附件。同时，可能会盗用用户的雅虎电邮Cookie，获用户的内部邮箱信息。发现这种漏洞后，两名研究人员立即向雅虎发出警告，雅虎迅速开发出补丁。