В Hotmail устранили баг, который позволял удалённо сменить пароль

27.04.2012 | 10:56
Компания Microsoft опубликовала бюллетень безопасности, в котором сообщает о выпуске заплатки для критической уязвимости в почтовой службе MSN Hotmal. Патч выпустили после обнаружения действующего эксплойта, который позволял в удалённом режиме сменить пароль для веб-почты Hotmail на произвольный.

Как сообщается в бюллетене, «при смене пароля с включенной защитой токеном последняя проверяла только наличие/отсутствие пустого значения. В случае пустого значения веб-сессия блокировала или закрывалась. Злоумышленник мог, например, обойти защиту токеном, введя значения “+++)-“. Удачный эксплойт позволял получить неавторизованный доступ к аккаунту MSN или Hotmail. Злоумышленник мог декодировать CAPTCHA и посылать автоматизированные значения через модуль MSN Live Hotmail».

На практике, чтобы сменить пароль к чужому аккаунту, достаточно было воспользоваться Firefox-плагином Tamper Data, выбрать на сайте Hotmail пункт «Забыл пароль» и подменить исходящие HTTP- данные, как показано на видео.

Злоумышленник мог без труда сменить пароль для любого аккаунта Hotmail. Эксплойт для данной уязвимости был обнаружен хакером из Саудовской Аравии с популярного сайта по безопасности dev-point.com, после чего широко разошёлся по хакерским форумам.

Нужно заметить, что Hotmail — крупнейший почтовый сервис в интернете с 364 миллионами аккаунтов. Он опережает Gmail и Yahoo Mail, которые занимают второе и третье место. Нынешняя версия MSN Hotmail была представлена в 2007 году и, надо полагать, баг присутствовал в ней с самого начала.

Говорят, это не единственная уязвимость в Hotmail, которая позволяет получить доступ к чужому аккаунту.
MSN, баг, веб-почта
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (1)
  1. Добавлено Lirok 26.06.2012 | 20:40интересная новость
Оставьте комментарий:CaptchaОбновить проверочный код