Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Hotmail, nueva vulnerabilidad en el campo "From"
 
VSantivirus No. 432 - Año 5 - Jueves 13 de setiembre 2001

Hotmail, nueva vulnerabilidad en el campo "From"
Por Redacción VSAntivirus

Hotmail, el popular sitio de correo gratuito de Microsoft, ha tenido en los últimos tiempos grandes fallas de seguridad.

Para aumentar la privacidad de sus usuarios, una de esas fallas fue corregida en su momento, con la implementación de varios filtros. Pero Bart Van Arnhem, usuario de origen holandés, ha descubierto un nuevo error que permite saltearlos.

El agregado de cierto código en JavaScripts, en el campo "From" de un mensaje enviado a cualquier usuario de Hotmail, puede hacer que un atacante evada completamente estos filtros. La técnica no requiere que el mensaje sea abierto, ya que Hotmail toma la dirección desde el mensaje entrante, examinando ese campo (el del Remitente), para crear entonces el código HTML que muestra la carpeta de entrada, el buzón "Inbox" del usuario. Esto provoca la ejecución del JavaScript, y entonces con solo ver la página creada, se ejecuta dicho código.

Las posibilidades para el atacante son múltiples. Una vez ejecutado el código, pueden obtenerse las credenciales de la víctima, lográndose a partir de este acceso, leer, borrar mensajes, enviar otros, e incluso capturar toda la información disponible de la víctima.

Se puede redireccionar el explorador a cualquier dirección, permitiendo además la ejecución de un programa alojado en dicho sitio, con el consiguiente riesgo de virus y troyanos.

Sobre la falla, basada en otra anterior descubierta hace un tiempo por el famoso cazador de bugs Georgi Guninski, Microsoft ha guardado silencio hasta el momento.


Ver también:

23/ago/01 - Microsoft anunció haber arreglado el agujero de Hotmail
21/ago/01 - Su cuenta de Hotmail no es tan privada como piensa
 09/ago/01 - Hotmail, el correo de Microsoft, víctima del CodeRed
 11/jul/01 - Debilidades en las contraseñas de Messenger y Hotmail
01/jun/01 - Vulnerabilidad en el correo de Yahoo y Hotmail
 30/ene/01 - Hotmail vulnerable a los virus


(c) Video Soft - http://www.videosoft.net.uy 		 

Copyright 1996-2001 Video Soft BBS