Cross-Site Scripting lek in Hotmail en Yahoo...

[gezina]

Het Israelische GreyMagic Software heeft vandaag een advisory voor een remote exploitable Cross-Site Scripting lek in Hotmail en Yahoo gepubliceerd. Door het lek in de filter technologie kan men kwaadaardige content in een Yahoo of Hotmail e-mail bericht meesturen, waardoor een aanvaller logingegevens kan stelen, de e-mails in de inbox kan bekijken en andere lekken in het besturingssysteem kan misbruiken, waardoor het hele systeem gecompromitteerd kan worden. Het lek, dat in Yahoo in combinatie met Internet Explorer en in Hotmail in combinatie met Internet Explorer aanwezig is, is mogelijk ook in andere web-based services die HTML proberen te filteren aanwezig. Een demonstratie en verdere uitleg van het lek staat in deze advisory. Greymagic heeft samen met Microsoft aan een oplossing gewerkt, waardoor Hotmail NIET meer kwetsbaar is. Het bedrijf kon geen contact krijgen met Yahoo, waardoor Yahoo! webmail nog steeds lek is. Bron: security.nl
Zie ook webwereld.nl: Experts hebben een lek ontdekt in de twee grootste webmaildiensten Hotmail en Yahoo. Het gat in Hotmail is inmiddels gedicht.

 

[gezina]

Ook Yahoo dicht lek in maildienst

In navolging van Microsoft heeft ook Yahoo een beveiligingslek in zijn maildienst gedicht. In de webmaildiensten van beide bedrijven was een probleem ontdekt in de verwerking van html+time-code. Hierdoor konden buitenstaanders gebruikersnamen en wachtwoorden van een pc achterhalen. Microsoft patchte afgelopen weekeinde al het gat in Hotmail. Nu is het beveiligingsprobleem bij Yahoo ook verholpen. Of er ook mensen het slachtoffer zijn geworden van het lek, kon een woordvoerder van Yahoo niet zeggen. Het lek, dat is ontdekt door experts van Greymagic Software, komt mogelijk ook in andere webmaildiensten voor. (EF) Bron: webwereld.nl