Hotmail-Konten lassen sich durch eine Lücke im MSN-Server ausspähen
Microsoft hat ilovemessenger.msn.com aufgrund einer Sicherheitslücke geschlossen, über die Angreifer Besuchern die Cookies auslesen konnten. Damit war es anschließend ohne Authentifizierung möglich, auf Hotmail-Konten zuzugreifen.
Ursache des Problems war eine Cross-Site-Scripting-Schwachstelle im MSN-Server, bei der der Browser des Opfers eingeschleusten Scripting-Code im Kontext der aufgerufenen Seite ausführte. Derartiger Code kann beispielsweise in präparierten URLs versteckt sein, den ein fehlerhafter, nicht filternder Server an den Client zurücksendet. Cross-Site-Scripting-Lücken sind ein weit verbreitetes Problem bei der Entwicklung von Web-Applikationen, bei der Benutzereingaben verarbeitet werden sollen.
Microsoft versucht derzeit, den Fehler zu beheben. Die Seite, die Emoticons, Bildchen und Hintergünde für den MSN Messenger anbietet, will der Konzern alsbald wieder in Betrieb nehmen.
Mehr dazu bei Heise Online.
voriger: Phishing: Die guten ins Töpfchen, die schlechten ins Kröpfchen | nächster: Kommt der Superwurm?