Die israelische Sicherheitsfirma Avnet hatte das Risiko entdeckt und dem Internet-Portal gemeldet. Ein eigenes Update ist vom User nicht aufzuspielen. Bereits im Juni hatte durch eine Schwachstelle in Yahoo der Yamanner-Wurm von sich reden gemacht.
Dieses Mal sind allerdings keine Fälle bekannt geworden, bei denen die kritische Sicherheitslücke ausgenutzt worden sei. Es sei aber möglich gewesen, durch einen Fehler in der Behandlung mit HTML-Anhängen somit auch Javascript-Code einzuschleusen, der das Sitzungs-Cookie eines Anwenders stiehlt und sich damit Zugriff auf das fremde Postfach verschafft.
Selbst das Aufspielen von Malware auf den bedrohten Rechner wäre so kein Problem mehr gewesen. Dabei hätte der User den HTML-Anhang noch nicht einmal öffnen müssen. Das Öffnen der Mail hätte völlig ausgereicht, um den schädlichen Code auszuführen.
