Fallo en Hotmail permite ataques XSS y otros


Fallo de validación en campo "Reply-To" de Hotmail permitiría ataques Cross-Site Scripting y otros
Se ha descubierto una vulnerabilidad en el servicio de correo Hotmail. Un usuario remoto podría realizar ataques del tipo Cross-Site Scripting y otros ataques.





Una vulnerabilidad CROSS-SITE-SCRIPTING (XSS), permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado.
Malware.com reporta que Hotmail no filtra el código HTML de los datos ingresados por un usuario en el campo "Subject" (Asunto) al responder a un mensaje recibido. Un usuario remoto puede enviar un mensaje de correo con una línea "Asunto" especialmente construida que contenga código script a un usuario atacado. Cuando el usuario atacado responda al mensaje, el código script será ejecutado por su navegador. El código se originará desde el sitio de Hotmail y se ejecutará en el contexto de seguridad de dicho sitio.
Se provee un exploit de demostración en el reporte original: http://www.securityfocus.com/archive/1/357896
En el exploit, la línea asunto contiene un iframe que apunta a código malicioso, pero la referencia de dicho iframe está al final de una extensa línea en el asunto, por lo tanto, el usuario atacado podría no ser capaz de ver fácilmente dicha referencia. El código malicioso del ejemplo muestra una falsa pagina de "sign-in" a Hotmail solicitando el ingreso de E- mail y contraseña, pero envía esos datos de autenticación a un sitio remoto, lo cual permitiría robar la cuenta del usuario atacado.
Descubierto por: 'http-equiv' ( www.malware.com )

Publicado en:
http://www.securitytracker.com/alerts/2004/Mar/1009488.html
NOTA: Hotmail parece haber solucionado esta vulnerabilidad, y estaría filtrando este tipo de asuntos, aunque no hay ningún comentario oficial al respecto.
Fuente:
(c) VSAntivirus - http://www.vsantivirus.com

Otras noticias de interés:

El 99,2% de los virus son para Windows
Seguimos con la ofensiva de los informes de las empresas de seguridad sobre las tendencias del cibercrimen. En este caso las conclusiones vienen de la empresa alemana G DATA, que nos avisa de que lo peor está por llegar. Valgan un par de datos: el n...
Las redes del U.S. Army, fácilmente hackeables, según una consultora
Se suponía que las computadoras militares eran completamente inaccesibles. Suposición incorrecta. Miles de computadoras del Ejército de EE.UU. con información sensible están accesibles desde Internet. Técnicas militares codificadas, misivas ent...
CURSO EN LA CIUDAD DE MERIDA - VENEZUELA (CERTIFICACION COMPLETA)
Se realizará en la ciudad de Mérida el curso de Certificación Completa (Los 3 niveles), tendrá una duración de 40 Horas, desde el lunes 11 hasta el viernes 15 de sepiembre....
Si navegas más de 8 horas diarias podrías ser un adicto a Internet
La superautopista de la información tiene aspectos positivos y negativos y en el lado oscuro de la red encontramos el tema de la navegación excesiva. Hoy intentaremos descubrir si existe la adicción a Internet...
Google Te Ayuda a Hackear
Los hackers suelen usar software ilegal para acceder a la información privada que reside en la Red o en las redes informáticas privadas. Pero el último as que acaban de sacar de la manga es una herramienta que todos los usuarios de la Web conocen ...
Bug en Safari que permite el robo de información
El navegador de Apple nuevamente en boca de todos ya que después de que la compañía de la gran manzana lanzará la actualización 5.0.1 de Safari porque la versión 4 y 5 tenían una vulnerabilidad, que permitía a determinadas webs fraudulentas i...
Holanda aprobó ley de neutralidad de la red
Cuando la ley entre en vigor, las operadoras que trabajen en Holanda no podrán cobrar a los usuarios por utilizar Skype o servicios similares....
Lanzan un software gratuito que permite manejar la computadora a partir de movimientos de la cara
Fue desarrollado por la Universidad de Baleares y la empresa TAGRV para que las personas con discapacidades motrices puedan interactuar con cualquier equipo sin usar las manos. Funciona con una cámara web estándar y ya se puede descargar de Interne...
Bug en el primer troyano que aprovecha el rootkit de Sony el creador no pasó el control de calidad
Tal y como era previsible, no han pasado muchos días desde que se publicara que el sistema anticopia de Sony incluía un rootkit hasta que un malware se ha aprovechado de ello. ...
Hackean el sitio Web de PlayStation
Según informa la empresa de seguridad Sophos, el sitio Web de Sony PlayStation ha sido víctima de un ataque de inyección SQL. Los atacantes han logrado introducir código que al ser ejecutado muestra un supuesto antivirus en línea, el cual aparen...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • ataques
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallo
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • hotmail
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • permite
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra
  • xss