О проблеме в начале текущего месяца сообщили специалисты израильской фирмы Avnet. Для осуществления атаки нападающему необходимо было отправить жертве электронное письмо с составленным особым образом вложением в формате HTML. При просмотре такого письма на машине пользователя мог быть автоматически выполнен вредоносный код. В этом случае злоумышленник мог захватить файлы cookie, а затем получить доступ к аккаунту жертве и хранящимся в почтовом ящике письмам. Кроме того, взломанный аккаунт впоследствии мог использоваться, например, для рассылки инфицированных сообщений.

Ситуация ухудшалась ещё и тем, что потенциальной жертве вовсе не обязательно было открывать вредоносное вложение. Нападающему необходимо было лишь вынудить владельца аккаунта просто просмотреть письмо.

Впрочем, о случаях практической эксплуатации уязвимости ничего не сообщается. К тому же, как отмечает PCWorld, компания Yahoo достаточно оперативно отреагировала на появление информации о дыре и на днях внесла соответствующие изменения в схему работы службы Yahoo Mail с HTML-файлами, вложенными в электронные письма. При этом пользователям почтового сервиса не нужно устанавливать какие-либо патчи или обновления.