[ksoft] Опасная дыра открывала доступ к аккаунтам HOTMAIL
Привет, All!
Корпорация Microsoft была вынуждена временно закрыть один из разделов
портала MSN из-за наличия на нем опасной уязвимости. Как
http://news.com.com/MSN+flaw+put+Hotmail+accounts+at+risk/2100-1002_3-5734448.html
сообщает CNET News, брешь была http://www.net-force.nl/news/view/59/
обнаружена голландским программистом Алексом де Врисом, а информация о
ней появилась в интернете в конце прошлой недели.
Проблема связана с особенностями реализации ресурса
http://ilovemessenger.msn.com/
I LOVE Messenger. Используя содержащиеся на этом сайте ошибки,
злоумышленник мог организовать XSS-атаку (Cross-Site Scripting) и
получить несанкционированный доступ к файлам cookies на компьютере
жертвы. "Куки" представляют собой особые метки, которые пользователи
интернета получают при посещении определенных веб-сайтов. С их помощью
сохраняются некоторые сведения о пользователях, в частности,
информация об аккаунтах. Похитив такие файлы, нападающий теоретически
мог затем получить доступ к аккаунту в почтовой системе Hotmail.
Корпорация Microsoft признала наличие уязвимости и временно
заблокировала ресурс I LOVE Messenger. На момент написания заметки при
попытке посещения данного веб-сайта открывалась
http://messenger.msn.com/
страница интернет-пейджера MSN Messenger.
Примечательно, что о проблеме с I LOVE Messenger стало известно через
неделю после взлома корейского веб-сайта MSN. На прошлой неделе хакеры
http://security.compulenta.ru/186093/
сумели добавить на главную страницу сайта невидимый iframe, чтобы
таким образом эксплуатировать уязвимость браузера Internet Explorer.
Софтверный гигант был вынужден отключить ресурс с целью проведения
восстановительных работ. Впрочем, в настоящее время портал MSN Korea
функционирует в нормальном режиме.
