Yahoo solucionó una falla que permitía un ataque cross site scripting (XSS) en la plataforma de comentarios utilizada en la mayoría de sus secciones, incluidas la sección de viajes, comida, tecnología, TV, música y otras.

La vulnerabilidad permitía el robo de información con tan sólo publicar una pieza de código en la sección de comentarios de los sitios afectados. El investigador independiente Behrouz Sadeghipour descubrió la falla, él es conocido por identificar fallas en servicios populares.

Satnam Narang, investigador de Symantec, comentó:

"Un atacante podría inyectar una pieza de código malicioso que podría ser usado para obtener tokens de sesiones, cookies y otra información sensible almacenada en los navegadores de los usuarios asociados a Yahoo."

En una publicación el viernes pasado, Sadeghipour realizó una serie de videos mostrando pruebas de concepto del ataque en acción. En el video se puede apreciar como Sadeghipour publica en la sección de comentarios una pieza de código diseñada para mostrar un mensaje emergente en el navegador. El mensaje aparece cuando el comentario es visible. La prueba de concepto fue realizada en varias secciones de Yahoo de distintos paises.

En el video puede apreciarse como se publica la línea de código y se almacena en la base de datos de tal manera que la amenaza se vuelve persistente, de esta forma se incrementa la gravedad de la vulnerabilidad, ya que la mayoría de los ataques XSS no lo son.

Bajo este esquema, un atacante pudo haber publicado código malicioso en los artículos más populares publicados en Yahoo y así afectar a un gran número de usuarios.

Sadeghipour publicó su investigación después de que Yahoo realizó las correcciones necesarias y le autorizó hablar de manera pública. Sadeghipour comentó que Yahoo deshabilitó las secciones de comentarios del 30 de abril al 2 de mayo, cuando finalmente corrigió el problema.