14.09.2001
В веб-почте Hotmail обнаружено уязвимое место, позволяющее злоумышленникам встраивать в письма вредоносные скрипты.
Хакер, известный под кличкой ObLiviON, утверждает, что ему удалось обойти механизм фильтрации Javascript, встроенный в почтовую систему Hotmail. Каким образом это можно проделать, он подробно описал в посвящённом проблемам компьютерной безопасности списке рассылки BugTraq.
Скрипты на Javascript, встроенные в письма в формате HTML, могут оказаться значительной угрозой для пользователей крупнейшего почтового сервиса. С умом используя их, злоумышленник может создать электронное письмо, которое будет перенаправлять получателя на определённую веб-страницу или похищать пароли от чужих почтовых ящиков.
Проблема заключается в том, что Hotmail не фильтрует адреса отправителя и получателя. Javascript можно упрятать и в них. Другие почтовые веб-сервисы отображают список писем несколько иначе, так что, как утверждает хакер, эта дыра, скорее всего, опасна только для пользователей Hotmail.
Судя по всему, несмотря на то, что доработка Hotmail продолжается много лет, уязвимых мест в нём по прежнему не счесть. Несколько недель назад было обнаружено, что зная название почтового ящика и верный уникальный номер письма, можно прочесть чужие письма. Сделать это может любой, и для этого не нужно обладать какими-то особыми познаниями и умениями. Первое не представляет никакой проблемы, второе несколько посложнее, хотя найти нужный номер при помощи специальных программ, можно довольно быстро.
О существовании недостатков в используемых сейчас методах фильтрации потенциально опасного кода также известно. Американский специалист по компьютерной безопасности Джереми Гроссман утверждает, что нашёл способ, которым можно обойти практически любой из них. Подробности он, впрочем, хранит в секрете, ожидая, пока крупнейшие сайты, беззащитные перед этой угрозой, не исправят свои ошибки.

Источник: Журнал "Компьютерра"