曾被列入十大应用安全风险榜单中的XSS漏洞，正是被黑客出售的雅虎漏洞。这个XSS漏洞是一个URL引发，虽然很容易修复，但是却很难被找到。

　　如果用户点中了电邮中发来的恶意链接，攻击者将会通过漏洞窃取并替代Cookies，可以监控用户的浏览过程，因此邮箱用户的隐私将受到威胁。这名埃及的黑客表示为了保证漏洞不被尽快发现，将把漏洞售卖给自己信任的人。 据国外媒体报道，一位化名为“TheHell”的埃及黑客出价700美元出售一个雅虎漏洞。这个漏洞将使上千万雅虎邮箱用户处于危险之中

一旦受害人点击了电子邮件中的恶意链接，这个漏洞允许攻击者窃取并替代跟踪Cookies，远程控制受害者的浏览过程。这名黑客在一个演示视频中表示：“受害者点击链接后，他会被再次重定向至邮件页面，之后你可以将他的页面重定向至任何你想要的地方。”

　　TheHell称，他将把这个漏洞出售给自己信任的人，以确保这个漏洞不会被很快修复。按照雅虎的说法，因为这是一个URL引发的XSS漏洞，因此很容易就可以修复，但是要找到它却很难。开放网络安全项目(The Open Web Security Project)此前曾把XSS漏洞列入十大应用安全风险榜单中。

　　电脑安全专家布莱恩?克莱伯斯(Brian Krebs)表示，雅虎应该仿效其他公司，向报告漏洞的黑客发放奖励，这样这些漏洞落入网络罪犯手中的几率就会减少。如果这个漏洞发生在谷歌身上，谷歌会为此支付1337美元。

　　由于目前还不清楚漏洞的具体情况，雅虎邮箱的用户只能在面对不明链接时加倍小心。