雅虎已经修正了其免费Web 电子邮件服务中的一个安全缺陷,该缺陷为钓鱼式攻击、帐户挟持等其它攻击打开了大门。

据SEC 咨询公司称,存在该跨站点脚本缺陷的原因是,雅虎的网站无法发现带有一些特殊字符的脚本标志。SEC 咨询公司在上周五发布了有关该缺陷的报告。

跨站点脚本缺陷是一种常见缺陷。最近Google的网站也被发现存在这类缺陷;今年早些时候,微软的Xbox 360网站上也发现了这类缺陷。

雅虎的网站上也出现了缺陷。黑客可以利用该缺陷挟持用户的帐户、发动以窃取资料为目的的钓鱼式攻击,甚至在用户的计算机上下载恶意代码。雅虎的一名代表称,他们已经在“最近数周内”修正了大多数的缺陷,用户的安全是有保证的。

雅虎的女发言人卡伦说,我们最近得知“雅虎邮”中存在问题,并立即开始在服务器端安装补丁软件,用户无需采取任何措施。我们不知道有任何用户受到了这一问题的影响。