Yahoo solucionó un error de XSS en su aplicación de correo electrónico a principios de esta semana, pero aparentemente no repara el problema.

Los investigadores de seguridad dicen que un parche proporcionado por Yahoo! a principios de esta semana para una vulnerabilidad grave en su correo electrónico no soluciona el problema, dejando a los usuarios en riesgo.

El error de XSS (Croos Site Scripting) fue encontrado por Shahin Ramezany,  quien se hace llamar"Abysssec". La vulnerabilidad puede permitir a un atacante obtener la cookie de la víctima para su cuenta de Yahoo! si la víctima es engañada con éxito y hace clic en un enlace malicioso.

La vulnerabilidad fue parchada por Yahoo! el lunes, pero las pruebas de penetración de la empresa Offensive Security y Ramezany dicen que el parche no soluciona el problema.

"Con pocas modificaciones a la prueba de concepto de código original escrita por Abysssec, todavía es posible explotar la vulnerabilidad original de Yahoo!, lo que permite a un atacante tomar la cuenta de la víctima por completo", escribió Offensive Security en su blog.

Se contactó el día miércoles a una portavoz de Yahoo! per no hubo comentarios inmediatos de su parte.

Offensive Security organizó un video que muestra cómo funciona el ataque, pero dejó fuera los detalles que podrían permitir a atacantes replicarlo. La compañía dijo que los filtros XSS proporcionan poca defensa contra un ataque y advirtió que la gente debe tener cuidado de no hacer clic en enlaces dentro de correos electrónicos hasta que Yahoo! solucione la vulnerabilidad.