Les chercheurs en sécurité expliquent que la mise à jour développée par Yahoo pour corriger une faille sérieuse dans son service de messagerie n'est pas efficace et le risque persiste. Pour mémoire, la vulnérabilité de type cross site scripting a été trouvée par Shahin Ramezany, qui est connu sous le pseudonyme de « Abyssec ». A travers une vidéo, il avait démontré une méthode permettant de récolter des cookies d'un abonné en le faisant cliquer sur un lien malveillant. Le pirate peut ensuite déchiffrer les informations des cookies pour se connecter au compte de l'utilisateur. Le géant du web a annoncé en début de semaine que le bug était corrigé.

Cependant, des tests de pénétrations de la société Offensive Security et Shahin Ramezany confirment que la mise à jour ne corrige pas le problème. « En modifiant un peu le code de l'attaque test élaborée par Abyssec, il est encore possible de d'exploiter la faille d'origine et qui permet à un attaquant de prendre complètement le contrôle du compte de la victime », précise la société de sécurité.

Aucun commentaire n'a été donné par Yahoo sur le sujet.