Hotmail, la compañía de Microsoft de correo Web gratuito y con más de
50 millones de usuarios en todo el mundo, constituye un apetitoso
bocado para las hackers.
Un cazaagujeros llamado Bennett Haselton descubrió una vulnerabilidad
que permitía a un asaltante entrar en una cuenta de correo usando un
mensaje de correo con un fichero adjunto en HTML. Cuando el usuario
ve el fichero adjunto (lo cual sucede automáticamente en la mayoría
de lectores de correo actuales, incluidos los correos Web), se
interceptan sus cookies de autenticación de Hotmail y se envían al
sitio web del atacante, de manera que en adelante este puede entrar
en la cuenta de la víctima haciendo uso de las cookies robadas. El
fichero HTML adjunto incorpora código en JavaScript para robar las
cookies, que no es filtrado por Hotmail, ya que JavaScript sólo se
filtra en los mensajes de correo, pero no en los ficheros adjuntos.
Hotmail reaccionó con rapidez y solucionó el problema ayer mismo al
poco tiempo de ser informado.
Más información:
HotMail JavaScript-in-attachment attack
criptonomicon@iec.csic.es
Boletín Criptonomicón #71
http://www.iec.csic.es/criptonomicon
Deja un comentario