米ヤフー、Yahoo Mailのクロスサイトスクリプティング脆弱性を修正

　Yahooが、ウェブベースの無料電子メールサービスに存在していたセキュリティ脆弱性を修正した。この脆弱性はフィッシング詐欺やユーザーアカウントの盗難といった攻撃に悪用される可能性があった。

　このクロスサイトスクリプティングの脆弱性に関する勧告を米国時間21日に公開したSEC Consultによると、この問題の原因は、Yahooのウェブサイトが特定の文字列と組み合わされた特定のスクリプトタグを検出しなかったことにあったという。

　クロスサイトスクリプティングの脆弱性は頻繁に発見されており、先日はGoogleのウェブサイトで、さらにその前にはMicrosoftの「Xbox 360」サイトでも見つかっていた。

　Yahooのウェブサイトでもこうした脆弱性が発見されていたが、この脆弱性が悪用された場合、ユーザーアカウントの不正取得や情報盗難を目的としたフィッシング詐欺が可能になるほか、ユーザーのPCに悪質なコードをダウンロードされてしまうおそれもあった。

　Yahooの広報担当によると、同脆弱性は「ここ数週間内」に修正されており、ユーザーの安全はすでに確保されているという。

　Yahooの広報担当Karen Mahonは、「Yahooは先ごろ、Yahoo Mailに不具合が存在することを知り、すみやかにサーバ側の修正を行った。この不具合について、ユーザーは何も行う必要はない。この問題によってユーザーが被害を受けたという報告はまだ受けてない」