Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde el 12 de agosto de 1996
Hotmail, nueva vulnerabilidad en el campo "From"
|
|
VSantivirus No. 432 - Año 5 - Jueves 13 de setiembre 2001
Hotmail, nueva vulnerabilidad en el campo "From"
Por Redacción
VSAntivirus
Hotmail, el popular sitio de correo gratuito de Microsoft, ha tenido en los últimos tiempos grandes fallas de seguridad.
Para aumentar la privacidad de sus usuarios, una de esas fallas fue corregida en su momento, con la implementación de varios filtros. Pero Bart Van Arnhem, usuario de origen holandés, ha descubierto un nuevo error que permite saltearlos.
El agregado de cierto código en JavaScripts, en el campo "From" de un mensaje enviado a cualquier usuario de Hotmail, puede hacer que un atacante evada completamente estos filtros. La técnica no requiere que el mensaje sea abierto, ya que Hotmail toma la dirección desde el mensaje entrante, examinando ese campo (el del Remitente), para crear entonces el código HTML que muestra la carpeta de entrada, el buzón "Inbox" del usuario. Esto provoca la ejecución del JavaScript, y entonces con solo ver la página creada, se ejecuta dicho código.
Las posibilidades para el atacante son múltiples. Una vez ejecutado el código, pueden obtenerse las credenciales de la víctima, lográndose a partir de este acceso, leer, borrar mensajes, enviar otros, e incluso capturar toda la información disponible de la víctima.
Se puede redireccionar el explorador a cualquier dirección, permitiendo además la ejecución de un programa alojado en dicho sitio, con el consiguiente riesgo de virus y troyanos.
Sobre la falla, basada en otra anterior descubierta hace un tiempo por el famoso cazador de bugs Georgi Guninski, Microsoft ha guardado silencio hasta el momento.
Ver también:
23/ago/01 - Microsoft anunció haber
arreglado el agujero de Hotmail
21/ago/01 - Su cuenta de Hotmail no
es tan privada como piensa
09/ago/01 - Hotmail, el correo de Microsoft, víctima del CodeRed
11/jul/01 - Debilidades en las contraseñas de Messenger y Hotmail
01/jun/01 - Vulnerabilidad en el correo de Yahoo y Hotmail
30/ene/01 - Hotmail vulnerable a los virus
(c) Video Soft - http://www.videosoft.net.uy
|
|
|