Cross-site scripting lek in Hotmail
Er is een lek in de Hotmail service van Microsoft ontdekt waardoor een remote aanvaller een cross-site scripting en andere aanvallen kan uitvoeren. Het probleem is dat Hotmail geen HTML code in het 'subject' veld filtert wanneer men op een e-mail antwoordt. Een remote aanvaller kan dan ook een e-mail sturen met een speciaal gemaakt onderwerp dat scripting code bevat, om zo de geadresseerde aan te vallen. Wanneer de geadresseerde antwoordt op de e-mail, wordt de scripting code door de browser van de gebruiker uitgevoerd. Er is op dit moment nog geen oplossing bekend. (Security Tracker) Bron: security.nl
Er is een lek in de Hotmail service van Microsoft ontdekt waardoor een remote aanvaller een cross-site scripting en andere aanvallen kan uitvoeren. Het probleem is dat Hotmail geen HTML code in het 'subject' veld filtert wanneer men op een e-mail antwoordt. Een remote aanvaller kan dan ook een e-mail sturen met een speciaal gemaakt onderwerp dat scripting code bevat, om zo de geadresseerde aan te vallen. Wanneer de geadresseerde antwoordt op de e-mail, wordt de scripting code door de browser van de gebruiker uitgevoerd. Er is op dit moment nog geen oplossing bekend. (Security Tracker) Bron: security.nl
