Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Etiquetas de imagen permiten un nuevo ataque a Hotmail
|
|
VSantivirus No. 472 - Año 5 - Martes 23 de octubre 2001
Etiquetas de imagen permiten un nuevo ataque a Hotmail
Por Redacción
VSAntivirus
Los usuarios del servicio de correo de Hotmail, son vulnerables a una nueva amenaza a su privacidad. La misma, explota una falla anterior que permite esconder un código script potencialmente peligroso, en las etiquetas de imagen del código HTML que lo contiene, incluidos mensajes con formato.
La falla se basa en el "descubrimiento" de que los filtros implementados en Hotmail para bloquear este tipo de acceso no autorizado al correo de sus clientes, no filtran el código embebido entre ciertas etiquetas (en este caso, las que se usan para las imágenes).
La forma de explotar esta falla, podría ser dirigir a los usuarios a una página falsa de Hotmail, donde se le obligará a ingresar nuevamente la contraseña, la que luego podría ser enviada al atacante.
Microsoft ha respondido que está estudiando la posible vulnerabilidad, pero no ha solucionado la falla aún (22/oct/01).
Hotmail filtra el código Javascript que se usan en los mensajes y sus páginas. Pero si bien el filtraje dentro de ciertas etiquetas, ya está implementado, el sistema falla cuando se incluye el código en dos etiquetas diferentes, en este caso comandos HTML llamados "style attribute", en etiquetas de imagen.
Esta etiquetas (TAGS), son usadas para insertar imágenes en las páginas Web, y son agregadas automáticamente a los mensajes, cuando el usuario utiliza correo con formato.
Una falla parecida, descubierta hace un mes, permitía incluir código malicioso en el campo "FROM:", siempre que este fuera pequeño y en la misma línea.
Esa vulnerabilidad ya había sido corregida.
Referencias:
A description of the Hotmail Javascript vulnerability
http://www.securityfocus.com/archive/82/221805
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|