Společnost Yahoo vydala opravu závažné cross-site scripting (XSS) bezpečnostní chyby umožňující útočníkovi získat přístup k e-mailům oběti.

Na rozdíl od obvyklých útoků, v tomto případě nebylo potřeba, aby uživatel aktivně otevřel přílohu či kliknul na URL v e-mailu. Chyba totiž spočívala v aplikaci HTML filtrů, které jsou využívány právě pro zabránění spuštění škodlivého kódu. Při vyšetřování se ukázalo, že filtr bylo možné obejít posláním e-mailu obsahující link na server YouTube, což umožnilo útočníkovi spustit JavaScript kód také obsažený v e-mailu a tím získat přístup k e-mailu.