Yahoo heeft een beveiligingslek in de e-maildienst gedicht waardoor aanvallers Yahoo-accounts konden overnemen als gebruikers alleen een link in een e-mailbericht openden. Het probleem werd door de Finse beveiligingsonderzoeker Jouko Pynnönen ontdekt en bevond zich in het html-filter van de e-maildienst.

Yahoo Mail gebruikt een html-filter om e-mailberichten met html op mogelijk kwaadaardige code te filteren. Een kwetsbaarheid in het filter maakte het toch mogelijk om de webmail van Yahoo kwaadaardige JavaScript uit te laten voeren. Op deze manier kon er een cross-site scripting-aanval worden uitgevoerd en was het mogelijk om het account van de gebruiker over te nemen, e-mailinstellingen aan te passen of e-mail zonder toestemming van de gebruiker te versturen.

Ook was het mogelijk een virus te maken dat Yahoo-accounts infecteerde, aldus Pynnönen. Hij rapporteerde het probleem op 12 november aan het beloningsprogramma dat Yahoo heeft voor beveiligingsonderzoekers. Op 29 november rolde de internetgigant een update uit om de kwetsbaarheid te verhelpen. De Finse onderzoeker kreeg voor zijn melding 10.000 dollar. Vorig jaar vond hij een soortgelijke kwetsbaarheid in Yahoo Mail waarvoor hij ook 10.000 dollar ontving.