Hotmail ne résiste pas à un javascript trop curieux

Après avoir été ouvert à tous sans mot de passe (voir notre article du 2 septembre 1999), Hotmail se laisse cette fois attraper par un simple javascript. Déjà attaqué il y a un an pour un bug similaire, Microsoft avait réagi en installant un filtre empêchant ce genre d'astuce d'être renouvelée.
Pourtant, le chasseur de bugs bulgare Georgi Guninski a fait la démonstration qu'il était toujours possible de subtiliser le mot de passe d'un abonné Hotmail à son insu. L'exploit réside dans un code javascript (code interprété permettant d'ouvrir des fenêtres et de gérer des entrées sorties habituellement) inséré dans les tags "image" (<img src> en html) d'un message envoyé au format html.
Les experts en sécurité poussent non seulement Hotmail mais aussi les autres fournisseurs d'emails gratuits à filtrer plus intensément l'html envoyé. En effet, le javascript pourrait être assez facilement adaptable aux services utilisant la même technologie que Microsoft. D'ici là, sur Hotmail mieux vaut désactiver les javascripts.