Por IDG Now!

O portal Yahoo consertou uma vulnerabilidade de segurança em seu serviço Yahoo Mail que permitiria que hackers seqüestrassem contas e prejudicassem usuários de diversas maneiras.

"Desenvolvemos uma correção para este bug, com distribuição mundial. Usuários do Yahoo Mail não precisarão tomar nenhuma ação para ficarem protegidos da falha", disse Kelley Podboy, porta-voz do Yahoo, por e-mail.

Nir Goldshlager e Roni Bachar da Avnet www.avnet.co.il, companhia de segurança de Israel, descobriram a vulnerabilidade no começo de agosto.

O problema estava na maneira que o Yahoo Mail lidava com anexos. Ao criar anexos em HTML com diferentes esquemas de código, um poderia passar o filtro de segurança do Yahoo Mail e executar códigos maliciosos em JavaScritp, disse Bachar.

A vulnerabilidade permitira que códigos em JavaScript fossem executados assim que o usuário abrisse a mensagem de e-mail, mesmo se o anexo não fosse acessado.

Pela brecha, também era possível roubar o cookie do usuário do Yahoo Mail, seqüestrar sua sessão e ganhar acesso à sua caixa postal. "Este vetor de ataque poderia ser usado para iniciar uma variedade de outros ataques mais sofisticados", escreveu Bachar, citando worms, programas keyloggers, phishings e rastreamentos de portas abertas do PC.

Após identificar a vulnerabilidade, Bachar e Goldhlager imediatamente alertaram o Yahoo, para que o portal consertasse o sistema. Bachar afirma que não tem conhecimento de nenhum código malicioso que explora a vulnerabilidade.