Adriaan Graas, uno studente olandese di 16 anni che si occupa di sicurezza internet e web development, ha scoperto una vulnerabilità in MSN/Hotmail, e una settimana fa ha pubblicato in rete un esempio di exploit. Microsoft non ha ancora coretto il problema di sicurezza che consente di "rubare" il cookie di login di MSN ed accedere così alla inbox di posta Hotmail e ad altre informazioni private degli utenti della webmail.
Graas ha rilasciato un advisory di sicurezza che descrive sinteticamente la vulnerabilità: "Hotmail è vulnerabile ad attacchi Cross Site Scripting a causa della gestione non corretta delle variabili nelle URL. Questo consente di rubare il cookie di autenticazione di un utente e di falsificarlo su un altro PC. Per questo è necessario iniettare codice javascript, che si occupa di collegare l'utente ad uno script di cookielogging. Fatto ciò sarà possibile avere il controllo della maibox dell'utente attaccato".
Dettagli
Graas ha rilasciato un advisory di sicurezza che descrive sinteticamente la vulnerabilità: "Hotmail è vulnerabile ad attacchi Cross Site Scripting a causa della gestione non corretta delle variabili nelle URL. Questo consente di rubare il cookie di autenticazione di un utente e di falsificarlo su un altro PC. Per questo è necessario iniettare codice javascript, che si occupa di collegare l'utente ad uno script di cookielogging. Fatto ciò sarà possibile avere il controllo della maibox dell'utente attaccato".
Dettagli