Hotmail-fiks holder ikke tett

Fiksen som skulle hindre en nyoppdaget metode for å kapre brukernavn og passord til abonnenter på Microsofts gratis web-baserte e-posttjeneste, falt for en enkel omprogrammering av det opprinnelige JavaScriptet.

Hotmail er laget for å vise html-kode, og er følgelig sårbar for ondsinnet JavaScript som gjør om på en html-sides utseende. En fiks som skulle hindre dette ble implementert i går kveld. Ifølge News.com ble denne fiksen raskt omgått av Tom Cervenka på nettstedet Because-we-can der det er lagt ut en demonstrasjon av problemet til Hotmail.

Fiksen som er beskrevet, virker rørende enkel og vitner snarere om manglende vilje til å ta problemet alvorlig, enn manglende kompetanse. Fiksen saumfarer innkommende e-post-meldinger etter JavaScript-tagger, og endrer dem slik at skriptet ikke kjøres. Cervenka omgikk dette filteret ved å bruke html bilde-tagger rundt JavaScriptet

Hotmail sa seg ikke overrasket over at fiks ble omgått så raskt.

I formiddag var det fortsatt fullstendig taust om sikkerhetshullet på Hotmails hjemmeside. Tjenesten skal ha 22 millioner brukere.

Til toppen