141365

Neues Sicherheitsloch in Hotmail

Bugjäger Georgi Guninski wurde wieder einmal fündig, dieses Mal ist Microsofts Maildienst Hotmail betroffen. Der Mailservice filtert aus Sicherheitsgründen Javascript-Code aus Mails aus, bevor sie angezeigt werden. Doch mit einem recht einfachen Trick ist es möglich, trotzdem Javascript in einer Nachricht auszuführen.

Bugjäger Georgi Guninski wurde wieder einmal fündig, dieses Mal ist Microsofts Maildienst Hotmail betroffen. Der Mailservice filtert aus Sicherheitsgründen Javascript-Code aus Mails aus, bevor sie angezeigt werden. Doch mit einem recht einfachen Trick ist es möglich, trotzdem Javascript in einer Nachricht auszuführen.

Der Code steht dabei nicht direkt in der Datei, sondern in einem Style Sheet, das beim Lesen der Mail nachgeladen wird. Dadurch versagt der Filter-Mechanismus von Hotmail, der nur die Mail selbst untersucht, und der Code wird ausgeführt, sobald der Hotmail-Anwender die Mail öffnet.

Mit dem entsprechenden Javascript-Programm wäre es möglich, falsche Login-Fenster anzuzeigen, fremde Nachrichten zu lesen oder unter dem Namen des Hotmail-Anwenders Mails zu verschicken.

Im Test "funktionierte" der Bug nur mit dem Internet Explorer, Netscape war davon nicht betroffen.

Der Fehler ist dem sehr ähnlich, den Guninski im Januar entdeckt hatte, nur dass dieses mal mit den Style Sheets eine weitere Stufe eingeführt wurde.

Guninski rät - wie schon so oft - beim Besuch von Hotmail Javascript abzuschalten oder einen anderen Browser als den Internet Explorer zu verwenden.

Homepage von Georgi Guninski

Spam-Schutz für Hotmail (PC-WELT, 05.04.2000)

Sicherheitslücke in Hotmail geflickt (PC-WELT, 05.01.2000)

0 Kommentare zu diesem Artikel
141365