Javascript-problem i Hotmail-meldinger

Nok en gang har sikkerheten i forbindelse med Hotmail kommet i søkelyset, men denne ganger nekter Microsoft for at det er selskapets feil.

Ved å legge inn JavaScript-kode som parametre for HTML/CSS-taggen STYLE i en Hotmail-melding, vil det være mulig for avsenderne av meldingene å stjele for eksempel passord eller å lese andres private e-post.

Normalt identifiserer Hotmail JavaScript i innkommende meldinger, men ifølge Georgi Guninski, den bulgarske sikkerhetseksperten som har oppdaget hullet, håndterer ikke Hotmail STYLE-taggen på en skikkelig måte, slik at JavaScript-koden slipper igjennom.

Ole Tom Seierstad ved Microsoft Norge forteller til digi.no at selskapet er klar over feilen og at det arbeides med å få rettet den, men han hevder at dette er et JavaScript-problem og ikke et Hotmail-problem.

Inntil hullet er blitt tettet igjen anbefaler han Hotmail-brukere å skru av støtten for JavaScript når de leser Hotmail-meldinger.

Hullet kan kun utnyttes når brukeren av Hotmail benyttes en nettleser som støtter CSS (Cascading Style Sheets).

Til toppen