Hotmail-Accounts konnten auch ohne Phishing missbraucht werden

SicherheitSicherheitsmanagement

Kein Phishing-Trick nötig: Mit Cross-Site-Scripting konnten Angreifer Zugriff zu fremden Hotmail-Accounts ergattern. Microsoft hat das Leck jetzt gestopft.

Am Wochenende musste Microsoft Teile seiner MSN-Webseiten abschalten, um eine Sicherheitslücke zu beseitigen. Der beruhte auf der Architektur der Website und erlaubte es, auf fremde E-Mail-Konten zuzugreifen.

Auf dem Angebot ilovemessenger.msn.com fand sich der Fehler, über den per Cross-Site-Scripting Cookies von Hotmail-Usern umgeleitet werden konnten. Den Nutzern musste nur eine manipulierte URL gesendet werden, um die Cookies umzuleiten. Über die kleinen digitalen Kekse wiederum, die dann auf dem falschen Rechner landen, ist ein Hotmail-Zugriff auch ohne Passwort-Abfrage möglich.

Der niederländische Programmierer Alex de Vries hatte die Lücke entdeckt und meldete sie an die Sicherheits-Website Full Disclosure. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen