You are hereГруппы / Безопасность / В Hotmail устранена критическая уязвимость

В Hotmail устранена критическая уязвимость


By yuliya - Posted on 27 апреля 2012

Картинка: 
Hotmail,  почта,  уязвимость

Используя брешь, злоумышленники могли сбросить пароли пользователей службы Hotmail.

В почтовой службе Hotmail от корпорации Microsoft была обнаружена критическая уязвимость, позволяющая изменять пользовательские пароли. О наличии уязвимости практически одновременно стало известно компании Vulnerability Lab и ряду хакерских организаций из Ближнего Востока.

«Уязвимость позволяет хакеру устанавливать произвольные Hotmail/MSN пароли. Удаленные пользователи могут обойти службу восстановления паролей и установить новый пароль, а также обойти защиту (основанную на токенах)», - говорится в уведомлении специалистов Vulnerability Lab.

«Защита токенов всего лишь проверяет заполненность значений, а затем блокирует или закрывает web-сессию. Удаленный пользователь может, например, обойти защиту токенов с помощью значений «+++)-». Успешная эксплуатация приводит к неавторизованному доступу к учетным записям в MSN или Hotmail. Злоумышленник может декодировать CAPTCHA и отправлять автоматизированные значения через модуль MSN Hotmail», - сообщают эксперты.

Независимый исследователь безопасности Навин Такур (Naveen Thakur) рассказывает о видеоролике с описанием эсплоита, который ему довелось увидеть: «Для него требуется использование расширения для Firefox под названием Tamper Data, которое позволяет пользователю перехватить исходящий HTTP запрос браузера и изменить данные. Атакующему необходимо только выбрать опцию «Я забыл пароль», а затем «Отправить мне ссылку на сбрасывание» и запустить Tamper Data в Firefox для изменения исходящих данных», - пишет Такур.

По словам исследователя, уязвимость очень легко эксплуатировать и она быстро получила широкое распространения в различных хакерских форумах.

Исследователи Vulnerability Lab обнаружили брешь 6 апреля этого года и передали информацию о ней в Microsoft Security Response Center. Временное исправление к бреши было установлено 21 апреля, в результате которого, при попытке эксплуатации на системе злоумышленника отображалось окно «Server Error».

securitylab.ru

Отправить комментарий

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 70 гостей.

Последние комментарии