Det israelske sikkerhedsfirma Grey Magic Software advarer mod et sikkerhedshul i blandt andet Microsofts populære Hotmail-tjeneste. Hullet kan udnyttes til at få adgang til en brugers brugernavn og adgangskode samt få fuld kontrol over webmail-kontoen.
Microsoft blev orienteret om sårbarheden 11. marts og rettede to dage senere Hotmail-tjenesten, så den ikke længere er sårbar.
Grey Magic Software har fundet den samme sårbarhed hos Yahoos webmail-tjeneste, men ifølge sikkerhedsfirmaet har Yahoo ikke reageret på henvendelser om sagen.
Ifølge nyhedstjenesten Cnet hævder Yahoo, at selskabet ikke har modtaget den oprindelige advarsel fra Grey Magic. Yahoo forventer at have en rettelse klar inden for de næste par dage.
Sårbarheden findes muligvis også i andre lignende tjenester, advarer Grey Magic.
Webmail-tjenester som Hotmail og Yahoo filtrerer e-mails for at sortere potentielt skadelig HTML-kode fra. Hvis en bruger logger på Yahoos webbaserede postsystem med Microsofts webbrowser, Internet Explorer, kan dette filter imidlertid vendes mod sig selv og misbruges til at udføre vilkårlig kode.
Sårbarheden er en kombination af webmail-tjenesternes måde at filtrere indholdet af e-mails for skadelig kode og en særlig funktion i Internet Explorer, som bruges til at synkronisere indhold på websider.
Ved at udforme en e-mail på en bestemt måde kan en hacker udføre kode, som udnytter andre sårbarheder i Internet Explorer, og ad den vej få adgang til brugerens pc.
Selv med Internet Explorer med samtlige sikkerhedsopdateringer kan sårbarheden udnyttes til at stjæle brugernavn og adgangskode, misbruge mailkontoen til at udsende spam eller en orm, læse indholdet af alle mails og afsløre samtlige kontakter i brugerens adressebog.
I Danmark har MSN Hotmail knap 700.000 brugere.
Relevante links
