Yahoo Mail漏洞导致没有主题和单个链接的电子邮件

最近，我收到了雅虎邮箱（或使用雅虎邮箱的sbcglobal.net）的朋友的随机电子邮件，没有主题和一些我不打算点击的随机网址。

起初我以为有人得到了他们的密码，我建议他们更新密码。

我刚收到一封来自上周更改密码的人的电子邮件。

这是某种跨站点脚本漏洞吗？有没有什么方法可以找出其中一条消息的接收者？

以下是最近邮件中的一些标题：

Received: from [999.999.999.999] by web83806.mail.sp1.yahoo.com via HTTP; Wed, 27 Jun 2012 09:23:30 PDT
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <1340814210.6602.YahooMailNeo@web83806.mail.sp1.yahoo.com>
Date: Wed, 27 Jun 2012 09:23:30 -0700 (PDT)

收到的标题中列入黑名单的IP来自挪威的动态IP。

所以我假设IP上的机器能够获取我朋友的Yahoo Mail cookie并用它向她的地址簿中的人发送电子邮件。这听起来准确吗？即使有人使用HTTPS连接到Yahoo Mail，特制的电子邮件也许可以提取cookie并通过RPCXML调用将其传递到其他地方，对吧？

那么如何从这样的攻击中获取Yahoo Mail帐户呢？

更新：我现在收到了来自四个不同人的电子邮件。这显然不是一个孤立的事件，雅虎邮件的用户肯定可以做些什么来保护自己。

@tomlogic：我想知道这是否来自Yahoo Toolbar的“Always-logged-on”部分。通过页面脚本来欺骗来自Yahoo服务器的https连接并不困难，基本上以安全的格式请求用户ID（尽管如你所指出的那样，它可以很容易地成为会话cookie，因为雅虎会议现在几乎是无限期的，所以为了让页面根据保存的个人资料知道要提供哪个广告。

我不知道实际上是这种情况，但这就是我要做的事情 - 当你设置雅虎邮件（和其他几个'免费'应用程序）时，你必须取消选中一个完整的盒子以免除了提供一个雅虎搜索框（谁再使用它？）和一个新的电子邮件通知之外，安装那个极其简洁的工具栏，还会将您访问的每个网站以及您键入的所有内容存储到未加密的Web表单中。

我一直在向5个不同的人发送回复，这些人向我发送了其中一个“没有链接到钓鱼网站的主题”的电子邮件，他们应该从不同的计算机或智能手机更改密码，然后运行防病毒软件以及在他们自己的计算机上重新登录Yahoo之前的反间谍软件，如MalwareBytes或SpyBot，以及删除Yahoo Toolbar和相关的Yahoo应用程序。无论如何，他们提供了什么附加价值？

发生在我的雅虎账户上。感染是由于电子邮件指向我无意中从我的Blackberry点击的网站链接。不得不更改密码，删除与Yahoo电子邮件的Blackberry连接并删除我的Yahoo联系人列表只是为了安全起见。已向雅虎客户支持报告，但他们只提供了标准答案。我没有安装雅虎工具栏。我强烈怀疑攻击者正在利用Yahoo Accounts基础设施中的一些弱点，可能与Blackberry的Yahoo BIS连接器有关。这似乎不是密码破解尝试，也不是会话劫持。

这不是Cross Site Scripting。

您的朋友可能是他Phishing或infected by spywarePC上的受害者。互联网SEA中有许多类型的间谍软件窃取用户密码，信用卡详细信息，cookie等重要细节。

这种类型的自动机器人在浏览器中作为插件或扩展程序安装，并从垃圾邮件加载或邮寄或邮寄垃圾邮件。

安全更新您的浏览器并使用好的间谍软件（Spybot搜索和销毁）。