یک کارشناس امنیتی به نام شاهین رمضانی با انتشار یک ویدئو بر روی سایت YouTube نحوه سوء استفاده از این نقطه ضعف جدید را نشان می دهد. این نقطه ضعف از نوع Cross-Site Scripting است که بر روی تمام مرورگرها قابل سوء استفاده می باشد.
این کارشناس امنیتی برای بهره برداری از این نقطه ضعف از یک پیوند (link) مخرب، یک ابزار آزمون نفوذ به نام Burp Suite، یک برنامه جانبی (add-on) برای مرورگر Chrome و کمی شیوه فریب و وسوسه (Social Engineering) استفاده می کند. وی نشان می دهد که چگونه در کمتر از پنج دقیقه می تواند به حساب کاربری Yahoo شخصی که پیوند مخرب را از طریق ایمیل دریافت کرده، وارد شود.
اطلاعات درباره این نقطه ضعف در اختیار شرکت Yahoo قرار گرفته و این کارشناس امنیتی قول داده که پس از رفع و ترمیم نقطه ضعف، نحوه سوء استفاده از آنرا را بر روی سایت خود abysssec.com منتشر کند.
مسئولان Yahoo هنوز واکنشی به این خبر نشان نداده اند.
اطلاعات تکمیلی 27/10/91
به دنبال تائید شرکت Yahoo به وجود نقطه ضعف فوق در سرویس پست الکترونیکی Yahoo Mail، این شرکت اخیراً اقدام به رفع و ترمیم آن نموده است. اکنون همانطور که کاشف این نقطه ضعف امنیتی قول داده بود، یک مقاله فنی 14 صفحه ای درباره نحوه استفاده و بهره برداری از این نقطه ضعف بر روی چند سایت امنیتی و از جمله سایت شرکتی که این کارشناس بعنوان مدیرفنی آن مشغول بکار است، منتشر شده است. علاقمندان به مطالعه این مقاله فنی می توانید از هر یک از پیوتدهای زیر برای دریافت آن اقدام نمایند.