Jouko Pynnonen นักวิจัยด้านความปลอดภัยชาวฟินแลนด์พบช่องโหว่ Stored XSS ที่สามารถฝังโค้ดหรือสคริป JavaScript ที่เป็นอันตรายลงบนเว็บไซต์ Yahoo Mail ได้ซึ่งส่งผลกระทบให้ผู้ไม่ประสงค์ดีสามารถอ่าน หรือส่งเมลจากบัญชีที่ถูกโจมตีไปยังแฮกเกอร์ หรือเปลี่ยนแปลงการตั้งค่าและ redirect เว็บเบราวเซอร์ของเหยื่อไปยังเว็บไซต์ทีเป็นอันตรายได้ โดยที่เหยื่อเพียงแค่เปิดอ่านอีเมล์เท่านั้น

อย่างไรก็ตาม Pynnonen เปิดเผยว่าช่องโหว่ดังกล่าวจะสามารถรันจาวาสคริปต์บน Web Browser ของเหยื่อได้เมื่อเหยื่อเข้าสู่ระบบ Yahoo Mail โดยช่องโหว่ดังกล่าวจะกระทบกับ Yahoo Mail ที่เป็นเวอร์ชั่นเว็บ จะไม่กระทบกับเวอร์ชั่นที่เป็น Mobile App, ช่องโหว่ Stored XSS ถูกแก้ไขแล้วโดย Yahoo ได้จ่ายเงินรางวัลให้กับ Jouko Pynnonen เป็นจำนวนเงิน $10,000 เหรียญหรือประมาณ 360,000 บาท

ที่มา : threatpost

บริษัทความปลอดภัย Fox IT จากเนเธอร์แลนด์ พบว่าโฆษณาบนหน้าเว็บ yahoo.com (ซึ่งมาจากโดเมน ads.yahoo.com ของยาฮูเอง) จำนวนหนึ่งติดมัลแวร์

เมื่อผู้ชมเข้าหน้าเว็บ yahoo.

นักวิจัยที่ชื่อ " Henry Hoggard " ได้ค้นพบช่องโหว่ cross site request forgery(CSRF) ของเว็บไซต์ Namecheap ซึ่งเป็นเว็บไซต์ที่เกี่ยวกับการรับจดโดเมนทซึ่งได้รับความนิยมเป็นอย่างมาก ผู้โจมตีสามารถทำการ redirect เปลี่ยนเส้นทางไปยังเว็บไซต์ของผู้โจมตีได้และ สามารถทำการ defaced หน้าเว็บไซต์ต่างๆให้เสียหายได้ จากรายงานกล่าวว่า ผู้ที่เป็นลูกค้าของ Namecheap นั้นได้รับผลกระทบทั้งหมด ปัจจุบันทาง Namecheap ก็ได้นำ token อุปกรณ์อิเล็กทรอนิกส์ซึ่งมีหน้าที่ในการสร้างชุดรหัสผ่าน One Time Password (OTP) เข้ามาช่วยแก้ไขในช่องโหว่ดังกล่าวแล้ว

ที่มา : ehackingnews