Уязвимость открыла Hotmail посторонним
Microsoft была вынуждена временно закрыть свой сайт I love Messenger, ошибка на котором позволяла посторонним заходить в чужие ящики почтовой службы Hotmail.
В Microsoft подтвердили наличие уязвимости после того, как о ней сообщил голландский программист Алекс де Врис (Alex de Vries) на сайте Net-Force, где "собираются" энтузиасты в сфере информационной безопасности.
Уязвимость типа cross-site scripting (межсайтовый скиптинг) позволяла украсть куки пользователя (строка с данными о пользователе, возвращаемая веб-сервером при регистрации), направляя его на специально сформированный веб-адрес, в который вложены посторонние команды, исполняющиеся в браузере клиента. В куки Hotmail содержатся данные о текущей сессии соединения с почтовым веб-ящиком. Сервер Hotmail, прочитавший эти украденные куки с компьютера злоумышленника, считает, что имеет дело с легальным пользователем.
Впервые уязвимости типа cross-site scripting обнаружили 5 лет назад. В Microsoft считают их серьезной угрозой безопасности сайтов. По заявлению корпорации, уязвимость была успешно устранена. Инцидент произошел спустя неделю после того, как в Корее хакеры взломали сайт MSN Korea. Они вставили в блок новостей вредоносный код, который пытался украсть с компьютеров пароли к онлайновой игре Lineage.
По данным Microsoft, Hotmail - одна из самых популярных почтовых веб-служб с 200 млн. пользователей.
В Microsoft подтвердили наличие уязвимости после того, как о ней сообщил голландский программист Алекс де Врис (Alex de Vries) на сайте Net-Force, где "собираются" энтузиасты в сфере информационной безопасности.
Уязвимость типа cross-site scripting (межсайтовый скиптинг) позволяла украсть куки пользователя (строка с данными о пользователе, возвращаемая веб-сервером при регистрации), направляя его на специально сформированный веб-адрес, в который вложены посторонние команды, исполняющиеся в браузере клиента. В куки Hotmail содержатся данные о текущей сессии соединения с почтовым веб-ящиком. Сервер Hotmail, прочитавший эти украденные куки с компьютера злоумышленника, считает, что имеет дело с легальным пользователем.
Впервые уязвимости типа cross-site scripting обнаружили 5 лет назад. В Microsoft считают их серьезной угрозой безопасности сайтов. По заявлению корпорации, уязвимость была успешно устранена. Инцидент произошел спустя неделю после того, как в Корее хакеры взломали сайт MSN Korea. Они вставили в блок новостей вредоносный код, который пытался украсть с компьютеров пароли к онлайновой игре Lineage.
По данным Microsoft, Hotmail - одна из самых популярных почтовых веб-служб с 200 млн. пользователей.
Ещё новости по теме:
18:20