jueves, 23 de septiembre de 1999

La vulnerabilidad de Hotmail común en los webmail

En el último mes la polémica a causa de las continuas
vulnerabilidades ha rodeado a Hotmail, el servicio de mail
gratuito a través de web más usado de todo Internet, pero los
problemas de Hotmail son comunes en otros servicios similares.
La última vulnerabilidad descubierta por el conocido programador
Georgi Guninski ha provocado la alarma generalizada dentro de
Internet, ya que todo parece indicar que la gran mayoría de
sitios de mail por web poseen problemas de seguridad similares.
La vulnerabilidad de Hotmail se basaba en la posibilidad de
inyectar y ejecutar código JavaScript dentro de un mensaje de
e-mail mediante el uso de tags. Este ataque puede reproducirse
con facilidad en muchos otros servidores dejando a la luz de un
posible ataque a los logins y passwords de los usuarios.

Si a esto le unimos que la gran mayoría de los usuarios emplean
las mismas contraseñas y nombres de usuario para diferentes
sitios en Internet la utilización de estos servicios se convierte
en una práctica peligrosa. Según el experto Richard M.Smith,
consultor de seguridad independiente en Cambridge, el problema
consiste en que conseguir atajar totalmente los bugs en este tipo
de sitios webs es prácticamente imposible debido a la gran
cantidad de variables propias del servicio que prestan.

En la actualidad todos los programadores de estos servicios
intentan dar solución a algunos de estros problemas impidiendo la
entrada de mensajes con código JavaScript insertado en los
e-mails entrantes, con lo que impediría en una posterior
ejecución la infección, pudiendo dejar a sus usuarios protegidos
ante estos ataques. El problema surge en ataques como el último
descubierto por Guninski basados en camuflar las instrucciones
Javascript dentro de tags permitidos.

Más información:
Internetnews
HispaSec
HispaSec
Georgi Guninski



Antonio Román