Yahoo ha solucionado un error de XSS en su aplicación de correo electrónico a principios de esta semana, pero, al parecer, el parche no repara el problema dejando a los usuarios en riesgo, según han denunciado algunos analistas de seguridad.
Algunos analistas de seguridad han alertado de que un parche de seguridad lanzado por Yahoo esta semana para resolver una seria vulnerabilidad detectada en su servicio de correo electrónico no soluciona el problema.
Fue Shahin Ramezany, un experto en seguridad que opera con el apodo de "Abysssec", quien descubrió el error de XSS en el correo electrónico de Yahoo, una vulnerabilidad que permite a un atacante acceder a la cuenta de Yahoo de su víctima si logra que esta sea engañada con éxito al hacer clic en un enlace malicioso. La vulnerabilidad fue parcheada por Yahoo el lunes, pero la compañía Offensive Security y el propio Ramezan y aseguran que el parche no resuelve el problema.
”Con una pequeña modificación que se haga al código de prueba original escrito por Abysssec, todavía es posible explotar la vulnerabilidad de Yahoo, lo que permite a un atacante tomar completamente el control de la cuenta de su víctima", señaló Offensive Security en su blog.
Ofensive Security colgó un video que muestra cómo funciona el ataque, pero obvió los detalles que podrían permitir a los atacantes replicarlo. La compañía afirma que los filtros XSS proporcionar poca defensa contra un ataque y advirtió que la gente debe tener cuidado en no hacer clic en enlaces dentro de correos electrónicos hasta que Yahoo solucione la vulnerabilidad.