Javascript kan kapre passord fra Hotmail

Microsoft filtrerer ut Javascript i "subject"-feltet. Men ondsinnet Javascript i "from"-feltet kan stadig tappe mottakerens passord, hevder Newsbytes.

Newsbytes viser til sikkerhetsforum der nederlenderen Bart van Arnhem forklarer framgangsmåten. Poenget er at MSN Hotmail innlemmer alt som står i "from"-feltet i selve html-koden som utgjør Hotmail-brukerens innboks. Følgelig vil eventuell Javascript i "from"-feltet eksekvere straks brukeren ser på sin innboks. Det er ikke nødvendig å åpne selve meldingen.

Tilsvarende framgangsmåte på "subject"-feltet går ikke, siden Microsoft filtrerer dette feltet for skripter.

Van Arnhem la ved en demo for å vise hva slags skadevirkninger dette kan gi, blant annet at det er mulig å omdirigere brukeren til en gitt nettadresse, eller få Hotmail-brukerens nettleser til å kjøre et program på en annen server.

Newbytes siterer en sikkerhetsekspert som mener at det vil la seg gjøre å komponere en skript for å kapre mottakerens passord.

Representanter for Microsoft sier saken undersøkes nå, og at de vil vente med en eventuell uttalelse.

Til toppen