Vedlegg borer sikkerhetshull i Hotmail

Microsofts gratis e-posttjeneste er ikke lenger sårbar overfor skjult JavaScript. Men angriperne har funnet ut at vedlegg kan skade brukeren minst like mye.

Angriperne tilhører det kanadisk selskapet Specialty Installations som driver et eget nettsted - because-we-can - viet demonstrasjoner av sikkerhetshull i Hotmail. Den første demonstrasjonen kom i forrige uke. Det tok noen dager før Hotmail fikk tettet igjen dette sikkerhetshullet, som gjorde bruk av skjult JavaScript i e-postmeldingen til å endre Hotmails webside slik at brukeren trodde han måtte logge seg på igjen. Da han gjorde dette, sendte han brukernavn og passord til because-we-can.

Nå demonstrerer nettstedet hvordan en tilsvarende fangst kan gjennomføres ved hjelp av et vedlegg til e-postmeldingen. Vedlegg er laget ved hjelp av Macromedia Shockwave, et forholdsvis utbredt hjelpemiddel. Tom Cervenka i Specialty Installations sier til News.com at Shockwave er bare et av mange verktøy som kan brukes til å generere tilsvarende effekter.

Hotmail har anerkjent dette nye sikkerhetshullet, og forpliktet seg til å tette det. Imens har nettstedet testet Hotmails fiks på det forrige hullet, og gratulert selskapet med vellykket tetningsarbeid.

Til toppen