国外消息称，一个埃及黑客以700美元的价格在地下论坛售卖一个针对yahoo邮箱的跨站零日漏洞。可以通过这个XSS盗取到yahoo的webmail用户的cookies，从而可让攻击者以受害人身份发送邮件和阅读邮件。

黑客还放出了一段证明视频：（需翻墙）

点击观看

黑客称能够在所有浏览器中生效。而且表示只会卖给可信的人，不希望漏洞这么快被修复了。

yahoo的安全主管已经获悉此消息，目前正在查找漏洞点，但是表示较难单从视频展示找到漏洞点。