月曜日, 6月 14, 2010

【zeroday】YahooウェブメールのXSSセキュリティ問題

昨日、YahooウェブメールにXSS(クロススクリプティング)のセキュリティ問題が発見されました。

Yahooウェブメールのインターフェースにバグがあり、あるスクリプトがメールの文書中に書かれている場合、ユーザはそのメールを開いた瞬間にjavascriptを実行してしまいます。
再現方法の情報がインターネットで交換されており、ゼロディ状況になっています。

再現方法は下記となります↓
(1)ヤフーメールにログインして下さい
(2)inboxを選んでクリックして下さい
(3)「move to」又は「新しいフォルダー作る」のボタンをクリックして下さい
(4)そこでjavascriptを記入します
(5)OKボタンを押すとjavascriptが実行されてしまいます。

リファレンス↓
http://seclists.org/fulldisclosure/2010/Jun/289
---
http://0day.jp/
セキュリティチーム

0 件のコメント:

コメントを投稿